用抓包的方法解决ARP病毒欺骗攻击（2）

3.总结（故障原理）

我们来回顾一下上面ARP攻击过程。MAC地址为00:20:ED:AA:0D:04的主机，扫描攻击192.168.17.0这个网段的所有主机，并告之它就是网关，被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了，但是从我抓取的数据包中，MAC为00:20:ED:AA:0D:04的主机并没有欺骗真正的网关，所以我们的网络会出现断网现象。

4.补充内容

对于ARP攻击的故障，我们还是可以防范的，以下三种是常见的方法：

方法一：平时做好每台主机的MAC地址记录，出现状况的时候，可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况，参照之前做好的记录，也可以找出问题主机。

方法二：ARP–S可在MS-DOS窗口下运行以下命令：ARP–S手工绑定网关IP和网关MAC。静态绑定，就可以尽可能的减少攻击了。需要说明的是，手工绑定在计算机重起后就会失效，需要再绑定，但是我们可以做一个批处理文件，可以减少一些烦琐的手工绑定！

方法三：使用软件（Antiarp）使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。