【IT168 报道】因为经常看到网上有看到求助ARP病毒防范办法，其实ARP欺骗原理简单，利用的是ARP协议的一个“缺陷”，免费ARP来达到欺骗主机上面的网关的arp表项的。

　　其实免费ARP当时设计出来是为了2个作用的：
　　1，IP地址冲突检测
　　2，ARP条目自动更新，更新网关。
　　arp欺骗就是利用这里面的第二条，攻击的主机发送一个arp更新，条目的ip地址是网关，但是mac地址一项，却不是网关，当其他主机接受到，会根据arp协议的规则，越新的越可靠的原则，达到欺骗的目的。
　　虽然arp不是tcp/ip协议簇中的一员，但是鉴于以太网的大行其道，所以放弃动态ARP协议，使用手动方式的来来做arp映射，好像不大现实（个别情况除外）。

　　我在这里介绍cisco网络环境下解决这个问题的思路：
　　其实这里面使用到了2个技术：dhcp snooping和ARP inspection

　　一.dhcp snooping
　　DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

　　当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

　　作用：
　　1.dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。
　　2.建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。这张表是后续DAI（dynamic arp inspect）和IP Source Guard 基础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。