【IT168专稿】最近ARP攻击非常严重，无论是小区宽带，还是网吧中上网，都经常遇到过大面积的掉线，如同路由器死机一样，当重新启动路由器后就又可以正常上网，但说不定什么时候又出现上不了网的现象，其实这就是ARP欺骗攻击的结果。

　　从影响网络的方式来看，APR欺骗有两种攻击可能，一种是对路由器APR表的欺骗，另一种是对内网电脑ARP表的欺骗，当然也存在两种欺骗攻击同时进行的可能。我们知道在局域网中是通过ARP协定来完成IP地址转换为物理地址的，通过伪造IP地址与MAC地址实现ARP欺骗，在网络中产生大量的ARP通信量使网络阻塞，这就造成了网络大面积的瘫痪，产生掉线现象。

　　通过上面的介绍，我们基本知道了ARP欺骗的两种方式，分别是欺骗路由器ARP表与欺骗电脑ARP两种，我们就可以从这两方面入手，首先设置路由器，来防止路由器的ARP表被恶意的ARP数据包更改，其次对电脑进行设置，来防止电脑的ARP表受恶意的更改，这两个方面的设置可以同时进行，从而保证网络畅通。

　　一、设置前的准备工作
　　为了防止ARP欺骗攻击，最后不要使用路由器的DHCP服务，获取动态IP的方式，因为这样电脑可能获取到的IP与MAC绑定条目不同的IP，使其不能够上网，在通过下面的设置后，每台电脑只有在使用指定的IP后方可上网，否则会出现无法上网的情况。首先我们把关闭路由器的DHCP服务，打开路由器的管理界面，依次点击“DHCP服务器／DHCP服务”，把状态由默认的“启动”更改为“不启动”，保存该项设置，并同时重新启动路由器。然后为每台电脑手动指定IP、网关与DNS服务器地址，保存并重新启动电脑。

　　二、设置电脑拒绝ARP欺骗攻击
　　首先我们在每一台电脑上把IP地址与MAC地址进行绑定，使该电脑的IP与MAC地址保持固定不变。
　　Windows系统中为我们提供了ARP命令，可以通过该命令实现IP与MAC地址绑定。首先使用“Arp  -s  网关IP  网关MAC地址”的格式实现网关（即路由器）的ARP条目的静态绑定，如网关IP地址为192.168.1.1，MAC地址为00-0a-eb-d5-60-80，我们就可以输入arp –s  192.168.1.1  00-0a-eb-d5-60-80即可实现网关IP与MAC地址绑定（图1），可以通过Arp  -a 命令来查看我们的绑定结果，可以看出该条目的Type类型为static，即表示该ARP条目是静态添加的。

　　使用该方法设置好静态ARP条目后，每次重新启动电脑后就会丢失，需要再次手工输入上面的命令来防止ARP欺骗，操作非常的麻烦。我们可以手工建一个批处理文件，内容为我们刚才输入的命令（图2）。

　　三、设置路由器防止ARP欺骗
　　上面在电脑端设置好网关的IP与MAC地址绑定后，接下来在路由器端设置，实现电脑的IP地址与MAC地址绑定，从而保证网络中不会再受到ARP欺骗攻击。
　　现在好多路由器都具有IP地址与MAC地址绑定功能，下面我们以TP-LINK R480T为例向大家介绍如何绑定电脑的IP地址与MAC地址。在地址栏输入路由器的IP地址，然后输入用户名与密码登录路由器，看到有一项为“IP与MAC绑定”项（图3）。

　　点击 “静态ARP绑定设置”链接，即可打开该窗口（图4）。

　　为了能够让路由器重新启动后能够自动添加ARP映射表，我们再点击“全部导入”按钮，实现IP地址与MAC地址自动绑定，以后无需手工设置即可，再次打开ARP映射表即可看到所有的IP地址都绑定了（图6）。