经过本人长达4个月的测试和琢磨研究。ARP实在是。。。。。。

闲话少说。根据我研究ARP的结果。我个人认为，ARP的防护是一个无法根本彻底解决的问题，我们能做的只能是防护，我有过很多思路，都失败了。而防护，双向绑定，绑了还是掉。。真的吗？是的，真的掉。很多贴都说其实是双向绑的不对。所以会掉，而我经过测试，双向绑定完全没有问题的情况下，ARP攻击还是会导致掉线，CMD下ARP -A察看的结果是网关IP： STATIC、本机IP：STATIC。ROUT上每个IP全都MAKE STATIC了。局域网网卡的ARP选项也reply-only了。这样的双向绑定够不够彻底。。。。。还是掉。亲自测试的。掉线的时候在客户机arp -a查看，全是static。而且MAC也正确。在这样的情况经过反复测试后成功。现将批处理内容发出来大家研究下，经过我自己测试在这个批处理做成幽灵运行后，再没有掉过线，而这个批处理里还有个延时时间是需要测试和斟酌的，因为每个网络环境的不同，单机配置和系统速度的不同。导致的结果都不一样，那么如果你要用，时间的测试自己完成吧。

因为ARP缓存在20分钟后会被更新，如果此时病毒进行欺骗的话，就可以欺骗成功，所以我加了条-D 3秒清空ARP缓存再重新绑定本机与网关。

如果效果不好请回贴说明情况，大家一起研究，扔砖的就不要劳驾了，我身子骨不好。

以下是批处理内容，至于幽灵程序怎么做自己百度一下吧。

:IP for /f "tokens=1* delims=:" %%i in ('ipconfig /all^|find /i "Physical Address"') do set mac=%%j for /f "tokens=1* delims=:" %%i in ('ipconfig /all^|find /i "IP Address"') do set ip=%%j for /f "tokens=1* delims=:" %%i in ('ipconfig /all^|find /i "Default Gateway"') do set gip=%%j for /f "skip=3 tokens=2" %%i in ('arp -a %gip:~1%') do set gmac=%%i

:ARP arp -d arp -s %ip:~1% %Mac:~1% arp -s %gip:~1% %gmac:~1% ping 127.0.0.1 -n 3 cls

goto ARP

批处理放在SYSTEM32下运行，用快捷方式放到启动项或组策略都可以。

另外这个批处理我已做成幽灵程序并做了改进。一样是SYSTEM32下运行。帖子地址在这：

http://bbs.txwm.com/dispbbs.asp?BoardID=190&ID=543776

你这个东西就是客户机器绑定网关的P处理，我可以向你保证，只要真正并且正确做到双向绑定[网关绑定内网所有机器的IP MAC地址，内网所有机器绑定网关的IP MAC地址]后，绝对可以防治ARP欺骗导致的掉线问题。 这个只要了解了ARP欺骗的原理就不难理解了。

而且通过双绑彻底防治ARP欺骗导致的掉线，我维护的4家网吧目前都已经正常了。

2个原因：一是双绑不正确或者漏掉了机器。比如各种服务器。[有些人是确实双绑了，也是正确绑定了，就是只绑定了客户机器，把一些服务器漏掉了]

二是该掉线情况已经不是ARP欺骗导致的。是别的一些原因。[ARP欺骗导致的掉线状况是很具有个性的：没有区域规律，没有时间规律，掉线后有可能一会就自己恢复正常]

请问一下楼上的兄弟，我遇到个情况，网吧是部分部分的掉线，但我用的收费机win2000系统没有掉，然后我用客户机arp -a 查看了一下192.168.1.1 对的是正确的MAC地址其它的也没看出什么有问题的MAC地址，但就是ping不通192.168.1.1这个IP，但执行一下arp -d 在ping就可以通了！！双绑也做了，不知道是怎么一回事，还好就遇到过一次！！

还有个问题客户端虽然绑定了，但病毒要是执行arp -d会是什么结果呢！！

病毒在非网关机器上执行ARP -D会刷新ARP 缓存来达到清除做过客户机绑定过网关的目的，但是现在很多客户机绑定网关的小程序或者VBS或者P处理都加上了持续执行绑定的代码，持续执行代码的周期一般都是在1-3秒左右的时间，那么病毒程序想要做到刷新ARP缓存来达到ARP欺骗的目的就需要把执行ARP -D的周期设置更短才可以起作用，但是这样的话，低于1秒的周期刷新ARP缓存就很有可能造成网络阻塞，这样的话，病毒就失去了他的作用。[他本身的作用就是通过ARP欺骗达到截取内网其他机器中指定的敏感信息，比如游戏帐号密码，网银帐号密码，QQ帐号密码等等，]

所有说，单向客户机绑定网关后，只要执行ARP -S命令的周期设置合适，甚至都可以起到防治ARP欺骗的作用。当然了，最妥善的方法还是双绑。

同3楼的问题，2楼的弟兄你根本没说明白为什么ARP -D后就正常的原因，而这个批处理我也是经过反复测试后得到的周期设置，而同时，如果周期过短，不仅仅是网络堵塞，还会导致CPU占用很高，系统很卡。试问你的网络不掉了，系统很卡顾客网吧业主会满意吗？ 也就是因为双向全绑定，网内所有机器无一例外的全绑，服务器全绑。结果还是掉。才会继续研究。而且我不仅仅是全绑，我还将254个IP全都绑了，不存在的机器给的是虚拟MAC。一样掉。事实上双绑是解决不了问题的。还是要用循环绑和循环清ARP缓存，清除掉错误的MAC绑回正确的，才能保证不掉，事实上高手都知道，并不是不掉，而是在掉了之后在最短的时间内将网络恢复，经过我的测试，这个批处理在被攻击的时候最多只丢两个包。有时候是一个。而一个包的丢失根本不会给使用者掉线的概念和结果，游戏也不会被踢。这才是这个批处理真正的目的。

不要小看那个ARP -D 事实上在测试中我多次发现，arp -a察看的结果，MAC全正确，还是不通。等待5秒左右自动通网。如果这时候手动arp -d 一下，立刻通网了。这说明什么，说明这时候的ARP的攻击已经成功，MAC已经被替换，但是缓存里还看不到被替换的，或者是IP被替换。又或者是其他原因，具体的我无法确定，我只找到了解决的方法，清除ARP缓存，就可以解决问题。我们现在要研究的就是解决问题。至于原理。ARP的攻击原理也不仅仅是MAC伪装一种，攻击结果也不仅仅是局部个别无规律的机器掉线，也有全网掉，等待几秒钟后自动恢复的结果。。

哎。。。 你自己都说了还会有瞬短的情况，假如有一个不是ARP欺骗的盗号木马，而是一个专门只做破坏的ARP病毒呢？比如OK病毒，一秒钟做如下的事情：刷新1000次ARP缓存并做网关MAC地址欺骗并发送ARP广播呢？这个时候你说你怎么办？

双向绑定的目的就是即使你在非网关机器上一秒钟做1000次，10000次欺骗也没有用，因为虽然破除了客户机上的绑定，但是因为网关上绑定了正确的客户机MAC地址，病毒只要修改客户机MAC地址，就会直接和网关断开，这个时候，他把自己做成假的网关又有什么意义？

你上面的那个就是单绑，不做网关回绑，你觉得有用，用OK病毒试试就知道会是什么状况了。

再罗嗦最后一次：说双绑不起作用，一是双绑不正确，二是该掉线问题不是ARP欺骗造成的。

实践才是检验真理的唯一标准。你也别和我争了。我是按事实说话。我劝你还是多实践一下。

说实话，现在很多人会做非网关MAC IP绑定[网上可以找到很多绑定的小程序或者VBS或P处理]，但是就是不会正确的做网关MAC IP绑定，特别是各种基于LINUX内核的防火墙软件。不会也就算了，又不虚心学习还非要吵着说：双绑没用！

那么我想问下，全部掉算掉，个别掉就不算掉了？那么个别机器掉了顾客不会喊？双绑当然做了。网关当然是被欺骗不了的，但是被病毒攻击了的这台机器上不了网了，旁边的机器还能上，这时候你就任由他自己去重起下？如果这样的话，估计网吧也没多少生意了，遇到老实的还会忍气吞声自己重起，遇到梦幻西游跑任务的他不和你吵架？那是RMB，遇到斗地主赌钱的他不和你翻脸？掉一次扣几十块钱，那也是RMB。

我看你缺乏实践测试，说的全是理论，我理论差，真的。

自己看了乱七八糟的网站，中了病毒导致自己吊线了还要怪到网吧头上来了？ 那好嘛！这样算了，网吧干脆一个人旁边配一个网管去指导、监督别人上网算了。

好帖！

哦。这样的理论，那我没必要和你争论了，这里的管管们不少的，大家继续研究。我们现在讨论技术，不讨论工作习惯和品质。。最好是把所有的问题可能性都能集中出来然后做个绝对保证的。那是我最最希望的结果

深奥.,,,,,,顶了!

arp的那段时间。我把全部机器开启

我在路由上直接绑定所有客户机。设置mac对应的可以上网，不对应的断开网络，陌生的ip也断开网络。害得我换个网卡还要去路由设置一下绑定。麻烦是麻烦点。但是对付arp是有效的～

这个现象确实存在~~，楼主分析的很有道理，不过好想你的BAT 有错误不能正常运行。

我修改了一下，你看看可好用！！

BAT文件自己转换为EXE就不会有黑框了~~

timeout文件copy到windows目录

把转换的exe文件和timeout做成自解压文件

声明：还未做测试，仅提供给楼主试验

下载信息  [文件大小：   下载次数： ]
点击浏览该文件:
扣除积分数	3