计算机通过绑定网关IP地址和MAC地址有效防止ARP攻击

Posted 2021-07-22 玩电脑的辣条哥

计算机A所在网段的网关为192.168.10.1，本机地址为192.168.10.5

在计算机CMD上运行arp －a后输出如下：

Cocuments and Settings>arp -a

Interface:192.168.10.5 — 0x2

Internet Address Physical Address Type

192.168.10.1 00-01-02-03-04-05 dynamic

其中，00-01-02-03-04-05就是网关192.168.10.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。

手工绑定的命令为：

arp －s 192.168.10.1 00-01-02-03-04-05

绑定完，可再用arp －a查看arp缓存：

Cocuments and Settings>arp -a

Interface: 192.168.10.5 — 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 static

这时，类型变为静态（static），就不会再受攻击影响了。

手工绑定在计算机关机重启后就会失效，需要再次重新绑定，不过也可以写个批处理，放到启动中。

脚本如下：

@echo off
arp -s192.168.10.1 00-01-02-03-04-05
end
保存为*.bat的文件。放在开机启动中。

要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。