在局域網(wǎng)中，通信前必須通過ARP協(xié)議來完成IP地址轉換為第二層物理地址（即MAC地址）。ARP協(xié)議對網(wǎng)絡安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，對網(wǎng)絡的正常傳輸和安全都是一個很嚴峻的考驗。

目前知道的帶有ARP欺騙功能的軟件有“QQ第六感”、“網(wǎng)絡執(zhí)法官”、“P2P終結者”、“網(wǎng)吧傳奇殺手”等，這些軟件中，有些是人為手工操作來破壞網(wǎng)絡的，有些是作為病毒或者木馬出現(xiàn)，使用者可能根本不知道它的存在，所以更加擴大了ARP攻擊的殺傷力。

從影響網(wǎng)絡連接通暢的方式來看，ARP欺騙有兩種攻擊可能，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)電腦ARP表的欺騙，當然也可能兩種攻擊同時進行。不管怎么樣，欺騙發(fā)生后，電腦和路由器之間發(fā)送的數(shù)據(jù)可能就被送到錯誤的MAC地址上，從表面上來看，就是“上不了網(wǎng)”，“訪問不了路由器”，“路由器死機了”，因為一重啟路由器，ARP表會重建，如果ARP攻擊不是一直存在，就會表現(xiàn)為網(wǎng)絡正常，所以網(wǎng)吧業(yè)主會更加確定是路由器“死機”了，而不會想到其他原因。為此，寬帶路由器背了不少“黑鍋”。我們來看看如何來防止ARP欺騙。

上面也已經(jīng)說了，欺騙形式有欺騙路由器ARP表和欺騙電腦ARP兩種，我們的防護當然也是兩個方面的，首先在路由器上進行設置，來防止路由器的ARP表被惡意的ARP數(shù)據(jù)包更改；其次，我們也會在電腦上進行一下設置，來防止電腦的ARP表受惡意更改。兩個方面的設置都是必須的，不然，如果您只設置了路由器的防止ARP欺騙功能而沒有設置電腦，電腦被欺騙后就不會把數(shù)據(jù)包發(fā)送到路由器上，而是發(fā)送到一個錯誤的地方，當然無法上網(wǎng)和訪問路由器了。

下面就以TL-ER5110為例說明使用ER系列路由器組網(wǎng)時如何設置防ARP欺騙。

一、設置前準備

當使用了防止ARP欺騙功能（IP和MAC綁定功能）后，最好是不要使用動態(tài)IP，因為電腦可能獲取到和IP與MAC綁定條目不同的IP，這時候可能會無法上網(wǎng)，可參考以下設置。

1）把路由器的DHCP功能關閉：打開路由器管理界面，“DHCP服務器”－＞“DHCP服務”，把狀態(tài)由默認的“啟用”更改為“不啟用”，保存并重啟路由器。

2）給電腦手工指定IP地址、網(wǎng)關、DNS服務器地址，如果您不是很清楚當?shù)氐腄NS地址，可以咨詢您的網(wǎng)絡服務商。

二、設置路由器防止ARP欺騙

打開路由器的管理界面，在ARP防護界面中可以看到：

其中

僅允許IP MAC綁定的數(shù)據(jù)包通過路由器：開啟此功能之后路由器不再學習更新自己的ARP表，只允許完全符合已綁定ARP條目的數(shù)據(jù)包通過路由器。表現(xiàn)為新接入路由器的計算機，若沒有添加IP與MAC地址對應關系，該計算機是不能與路由器進行通訊的。或者路由器下的計算機更改了其IP地址，導致與路由器上記錄的IP與MAC對應關系不一致，也無法進行通訊。

允許路由器在發(fā)現(xiàn)ARP攻擊時發(fā)送GARP包：GARP又稱作免費ARP，是指通過路由器發(fā)送ARP包內(nèi)網(wǎng)的PC可以更新自己的ARP緩存，確保PC ARP表中網(wǎng)關及其MAC地址的對應關系是正確的。

在添加IP與MAC地址綁定的時候，可以手工進行條目的添加，也可以通過“ARP掃描”查看網(wǎng)絡中所有的IP與MAC地址的對應關系，通過導入后，進行綁定。

1、手工進行添加，單擊“增加單個條目”。

手動添加操作復雜，但是安全性高。在網(wǎng)絡中已經(jīng)存在ARP欺騙或者不確定網(wǎng)絡中是否存在ARP欺騙的情況下建議使用手動添加的方式。

填好主機的IP和MAC地址，點擊新增，此綁定條目就設置完成了。同樣的方法逐條添加其余電腦的ARP條目。

2、通過“ARP掃描”，導入條目，進行綁定。

這種方法簡單快捷，但是要確定網(wǎng)絡中沒有ARP欺騙，否則綁定了錯誤的IP MAC條目可能會導致內(nèi)網(wǎng)中某些主機上不了網(wǎng)。

打開“ARP掃描”窗口如下：

選擇全選，然后全部導入，所有的綁定條目就設置完成了。

注：ARP掃描的功能不僅僅可以掃描內(nèi)網(wǎng)網(wǎng)段，也可能掃描WAN口網(wǎng)段，這在一些外網(wǎng)中可能存在ARP欺騙的網(wǎng)絡中非常有用，我們可以通過掃描綁定前端網(wǎng)關地址防止前端ARP欺騙。

靜態(tài)IP地址接入線路，建議將前端網(wǎng)關的ARP信息綁定，綁定方法為：
1）、輸入網(wǎng)關地址掃描；

比如：

2）、選中--綁定--導入；

全部綁定條目設置完成之后如圖所示：

三、設置電腦防止ARP欺騙

僅僅只在路由器上綁定主機的MAC地址是不能完全解決ARP欺騙問題的，還必須在主機上綁定路由器的MAC地址，進行雙向綁定。

windows XP系統(tǒng)的設置方法：

在主機上建立一個文本文件，寫入ARP綁定命令：arp –s IP MAC，如下圖。

文本文件中填入的IP是路由器的管理地址，此處是192.168.1.1，MAC是路由器LAN口的MAC地址，此處是00-00-01-02-03-05。

保存之后修改其為.bat后綴的批處理文件，比如“arp.bat”。然后將其放入系統(tǒng)啟動項中，以后系統(tǒng)每次開機時都會執(zhí)行這個綁定命令，將路由器的管理IP和MAC地址進行綁定。如圖所示：

至此全部的設置就完成了，以后您就再也不用擔心ARP欺騙給網(wǎng)絡帶來的影響了。

Windows Vista和Windows 7系統(tǒng)的設置方法：

1、管理員身份運行命令提示符。

2、命令：netsh -c i i show in 查看網(wǎng)絡連接準確名稱。如：本地連接、無線網(wǎng)絡連接。

3、執(zhí)行綁定:netsh -c i i add neighbors "網(wǎng)絡連接名稱" "IP地址" "MAC地址"。

4、綁定完成，電腦重啟靜態(tài)ARP不失效，不用像XP一樣建批處理文件。

如圖所示：