1、一.WINDOWS下綁定ARP綁定網關步驟一：在能正常上網時，進入MS-DOS窗口，輸入命令：arp a，查看網關的IP對應的正確MAC地址， 并將其記錄下來。注意：如果已經不能上網，則先運行一次命令arp d將arp緩存中的內容刪空，計算機可暫時恢復上網（攻擊如果不停止的話）。一旦能上網就立即將網絡斷掉（禁用網卡或拔掉網線），再運行arp a。步驟二：步驟二：如果計算機已經有網關的正確MAC地址，在不能上網只需手工將網關IP和正確的MAC地址綁定，即可確保計算機不再被欺騙攻擊。要想手工綁定，可在MS-DOS窗口下運行以下命令：arp s 網關IP 網關MAC例如：假設計算機所處網段的網關為1

2、，本機地址為，在計算機上運行arp a后輸出如下：Cocuments and Settingsarp -aInterface: - 0x2Internet Address Physical Address Type 00-01-02-03-04-05 dynamic其中，00-01-02-03-04-05就是網關對應的MAC地址，類型是動態（dynamic）的，因此是可被改變的。被攻擊后，再用該命令查看，就會發現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器，徹底根除攻擊，

3、可以在此時將該MAC記錄下來，為以后查找該攻擊的機器做準備。手工綁定的命令為：arp s 00-01-02-03-04-05綁定完，可再用arp a查看arp緩存：Cocuments and Settingsarp -aInterface: - 0x2Internet Address Physical Address Type 00-01-02-03-04-05 static這時，類型變為靜態（static），就不會再受攻擊影響了。但是，需要說明的是，手工綁定在計算機關機重啟后就會失效，需要再次重新綁定。所以，要徹底根除攻擊

4、，只有找出網段內被病毒感染的計算機，把病毒殺掉，才算是真正解決問題。 作批處理文件在客戶端做對網關的arp綁定，具體操作步驟如下：步驟一：查找本網段的網關地址，比如19216811，以下以此網關為例。在正常上網時，“開始運行cmd確定”，輸入：arp a，點回車，查看網關對應的Physical Address。比如：網關 對應000102030405。步驟二：編寫一個批處理文件rarp.bat，內容如下：echo offarp darp -s 000102030405保存為：rarp.bat。步驟三：運行批處理文件將這個批處理文件拖到“Window

5、s開始程序啟動”中，如果需要立即生效，請運行此文件。 二. Linux下綁定IP和MAC地址，防止ARP欺騙一、應用背景由于最近網上新出現一種ARP欺騙病毒，主要表現為：中病毒的機器不僅影響自身，同時也會影響同網段的其它機器，將其它機器的HTTP數據包里加入病毒代碼。代碼例子如：這種病毒危害非常大！即使你機器的安全性做得很好，可是沒辦法保證同網段的其它機器安全沒有問題！解決辦法：在網關和本機上雙向綁定IP和MAC地址，以防止ARP欺騙。二、約定1、網關上已經對下面所帶的機器作了綁定。網關IP：MAC：00:02:B3:38:08:622、要進行綁定的Linux主機IP：1

6、MAC：00:04:61:9A:8D:B2三、綁定步驟1、先使用arp和arp -a查看一下當前ARP緩存列表rootftpsvr # arpAddress HWtype HWaddress Flags Mask Iface34 ether 00:04:61:AE:11:2B C eth045 ether 00:13:20:E9:11:04 C eth0 ether 00:02:B3:38:08:62 C eth0說明：Address：主機的IP地址Hwtype：主機的硬件類型Hwaddress：主機的硬件地

7、址Flags Mask：記錄標志，C表示arp高速緩存中的條目，M表示靜態的arp條目。rootftpsvr # arp -a? (34) at 00:04:61:AE:11:2B ether on eth0? () at 00:16:76:22:23:86 ether on eth02、新建一個靜態的mac-ip對應表文件：ip-mac，將要綁定的IP和MAC地下寫入此文件，格式為 ip mac。rootftpsvr # echo 00:02:B3:38:08:62 /etc/ip-macrootftpsvr # more

8、/etc/ip-mac 00:02:B3:38:08:623、設置開機自動綁定rootftpsvr # echo arp -f /etc/ip-mac /etc/rc.d/rc.local4、手動執行一下綁定rootftpsvr # arp -f /etc/ip-mac5、確認綁定是否成功rootftpsvr # arpAddress HWtype HWaddress Flags Mask Iface05 ether 00:02:B3:A7:85:48 C eth034 ether 00:04:61:AE:11:2B C eth

9、0 ether 00:02:B3:38:08:62 CM eth0rootftpsvr # arp -a? (05) at 00:02:B3:A7:85:48 ether on eth0? (34) at 00:04:61:AE:11:2B ether on eth0? () at 00:02:B3:38:08:62 ether PERM on eth0從綁定前后的ARP緩存列表中，可以看到網關（）的記錄標志已經改變，說明綁定成功。四、添加信任的Windows主機（192.168.1.

10、10）1、Linux主機（）上操作rootftpsvr # echo 0 00:04:61:AE:09:14 /etc/ip-macrootftpsvr # arp -f /etc/ip-mac2、Windows主機（0）上操作1）清除ARP緩存C:Documents and SettingsAdministratorarp -d2）綁定Linux主機的IP和MAC地址C:Documents and SettingsAdministratorarp -s 00-04-61-9A-8D-B2你可以將上面2個步驟寫在一個BAT（批處理）文件中，這樣做的好處是，今后如果要增加其它