ARP病毒原理及解決辦法

　　若是您的網絡出現,總體忽然掉線,或者有不定時的部分機器掉線,再或者出現一臺一臺機器的掉線.並且通常狀況下幾種掉線都會自動恢復.那基本是ARP欺騙. 

　　ARP欺騙原理:
　　在同一NET內的因此機器是經過MAC地址通信。方法爲，PC和另外一臺設備通信，PC會先尋找對方的IP地址，而後在經過ARP表（ARP表裏面有因此能夠通信IP和IP所對應的MAC地址）調出相應的MAC地址。經過MAC地址與對方通信。也就是說在內網中各設備互相尋找和用來通信的地址是MAC地址，而不是IP地址。
網內的任何一臺機器均可以輕鬆的發送ARP廣播，來宣稱本身的IP和本身的MAC。這樣收到的機器都會在本身的ARP表格中創建一個他的ARP項，記錄他的IP和MAC地址。若是這個廣播是錯誤的其餘機器也會接受。例如： 192.168.1.11機器MAC是 00:00:00:11:11:11,他在內網廣播本身的IP地址是192.168.1.254(實際上是路由器的IP)，MAC地址是00:00:00:11:11:11(他本身的真實MAC).這樣你們會把給192.168.1.254的信息和發給00:00:00:11:11:11.也就是192.168.1.11。

　　解決辦法：
　　1. 用sniffer或etherpeek軟件查看，找出常常發包的mac地址。（這個mac地址特色是：多數客戶端的arp表中都有這個記錄，並且其ip是網關的地址）
　　2. 到網關上查看網關的mac地址是否就是這個mac地址。若是是，則不是arp中毒；若是不是，那就能夠肯定中了arp病毒，並繼續下面的步驟
　　3.. 到交換機中查看mac緩存。用#show mac-address-table命令（這個命令是思科交換機的），找出這個mac地址對應的端口，而後拔掉這個接口網線，以解決斷網問題並肯定是哪臺計算機。