很多學校、公司的內部網絡里面經常有一些不道德的人用ARP欺騙軟件攻擊別人， 讓很多人掉線， 甚至讓整個網絡都癱瘓。 針對這個問題， 大家可以采取如下的辦法。

　　介紹一個防火墻：Outpost Firewall。 它可以防護“P2P終結者”等局域網軟件， 效果超好， 還能查出局域網哪臺機在使用， 功能強大， 占用資源少， 可以評分5個星。

　　點擊此處下載Outpost Firewall

　　其實， 類似網絡管理這種軟件都是利用arp欺騙達到目的的。 其原理就是使電腦無法找到網關的MAC地址。 那么ARP欺騙到底是怎么回事呢？

　　首先給大家說說什么是ARP。 ARP（Address Resolution Protocol）是地址解析協議， 是一種將IP地址轉化成物理地址的協議。 從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。

　　ARP具體說來就是將網絡層（IP層， 也就是相當于OSI的第三層）地址解析為數據連接層（MAC層， 也就是相當于OSI的第二層）的MAC地址。

　　ARP原理：某機器A要向主機B發送報文， 會查詢本地的ARP緩存表， 找到B的IP地址對應的MAC地址后， 就會進行數據傳輸。 如果未找到， 則廣播A一個 ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa）， 請求IP地址為Ib的主機B回答物理地址Pb。 網上所有主機包括B都收到ARP請求， 但只有主機B識別自己的IP地址， 于是向A主機發回一個ARP響應報文。 其中就包含有B的MAC地址， A接收到B的應答后， 就會更新本地的ARP緩存。 接著使用這個MAC地址發送數據（由網卡附加MAC地址）。 因此， 本地高速緩存的這個ARP表是本地網絡流通的基礎， 而且這個緩存是動態的。

　　ARP協議并不只在發送了ARP請求才接收ARP應答。 當計算機接收到ARP應答數據包的時候， 就會對本地的ARP緩存進行更新， 將應答中的IP和MAC 地址存儲在ARP緩存中。 因此， 當局域網中的某臺機器B向A發送一個自己偽造的ARP應答， 而如果這個應答是B冒充C偽造來的， 即IP地址為C的IP， 而 MAC地址是偽造的， 則當A接收到B偽造的ARP應答后， 就會更新本地的ARP緩存， 這樣在A看來C的IP地址沒有變， 而它的MAC地址已經不是原來那個了。 由于局域網的網絡流通不是根據IP地址進行， 而是按照MAC地址進行傳輸。 所以， 那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址， 這樣就會造成網絡不通， 導致A不能Ping通C！這就是一個簡單的ARP欺騙。

　　解決方法歸納起來有以下方法：

　　1. 使用VLAN

　　只要你的PC和P2P終結者軟件不在同一個VLAN里, 他就拿你沒辦法.

　　2. 使用雙向IP/MAC綁定

　　在PC上綁定你的出口路由器的MAC地址, P2P終結者軟件不能對你進行ARP欺騙, 自然也沒法管你, 不過只是PC綁路由的MAC還不安全, 因為P2P終結者軟件可以欺騙路由, 所以最好的解決辦法是使用PC, 路由上雙向IP/MAC綁定, 就是說, 在PC上綁定出路路由的MAC地址, 在路由上綁定PC的IP和MAC地址, 這樣要求路由要支持IP/MAC綁定, 比如HIPER路由器.

　　3. 使用IP/MAC地址盜用+IP/MAC綁定

　　索性你把自己的MAC地址和IP地址改成和運行P2P終結者軟件者一樣的IP和MAC, 看他如何管理, 這是一個兩敗俱傷的辦法, 改動中要有一些小技巧, 否則會報IP沖突. 要先改MAC地址, 再改IP, 這樣一來WINDOWS就不報IP沖突了(windows傻吧))), 做到這一步還沒有完, 最好你在PC上吧路由的MAC地址也綁定, 這樣一來P2P終結者欺騙路由也白費力氣了.

　　屏蔽網絡執法官的解決方式

　　利用Look N Stop防火墻， 防止arp欺騙

　　1.阻止網絡執法官控制

　　網絡執法官是利用的ARp欺騙的來達到控制目的的。

　　ARP協議用來解析IP與MAC的對應關系， 所以用下列方法可以實現抗拒網絡執法官的控制。 如果你的機器不準備與局域網中的機器通訊， 那么可以使用下述方法：

A.在“互聯網過濾”里面有一條“ARP : Authorize all ARP packets”規則， 在這個規則前面打上禁止標志；

　　B.但這個規則默認會把網關的信息也禁止了， 處理的辦法是把網關的MAC地址（通常網關是固定的）放在這條規則的“目標”區， 在“以太網：地址”里選擇“不等于”， 并把網關的MAC地址填寫在那時；把自己的MAC地址放在“來源”區， 在“以太網：地址”里選擇“不等于”。

　　C.在最后一條“All other packet”里， 修改這條規則的“目標”區， 在“以太網：地址”里選擇“不等于”， MAC地址里填FF:FF:FF:FF:FF:FF；把自己的MAC地址放在“來源”區， 在“以太網：地址”里選擇“不等于”。 其它不改動。

　　這樣網絡執法官就無能為力了。 此方法適用于不與局域網中其它機器通訊， 且網關地址是固定的情況下。

　　如果你的機器需要與局域網中的機器通訊， 僅需要擺脫網絡執法官的控制， 那么下述方法更簡單實用（此方法與防火墻無關）：

　　進入命令行狀態， 運行“ARP -s 網關IP 網關MAC”就可以了， 想獲得網關的MAC， 只要Ping一下網關， 然后用Arp -a命令查看， 就可以得到網關的IP與MAC的對應。 此方法應該更具通用性， 而且當網關地址可變時也很好操作， 重復一次“ARP -s 網關IP 網關MAC”就行了。 此命令作用是建立靜態的ARP解析表。

　　另外， 聽說op防火墻也可以阻止， 這個還沒有試過。

　　防止P2P終結者的攻擊

　　1：第一種方法就是修改自己的MAC地址， 下面就是修改方法：

　　在"開始"菜單的"運行"中輸入regedit， 打開注冊表編輯器， 展開注冊表到：HKEY_LOCAL_MACHINE\System \CurrentControlSet\Control\Class\{4D36E9E}子鍵， 在子鍵下的0000， 0001， 0002等分支中查找 DriverDesc（如果你有一塊以上的網卡， 就有0001， 0002......在這里保存了有關你的網卡的信息， 其中的DriverDesc內容就是網卡的信息描述， 比如我的網卡是Intel 210 41 based Ethernet Controller）， 在這里假設你的網卡在0000子鍵。 在0000子鍵下添加一個字符串， 命名為"NetworkAddress"， 鍵值為修改后的MAC地址， 要求為連續的12個16進制數。 然后在"0000"子鍵下的NDI\params中新建一項名為NetworkAddress的子鍵， 在該子鍵下添加名為"default"的字符串， 鍵值為修改后的MAC地址。

　　在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字符串， 其作用為指定Network Address的描述， 其值可為"MAC Address"。 這樣以后打開網絡鄰居的"屬性"， 雙擊相應的網卡就會發現有一個"高級"設置， 其下存在MACAddress的選項， 它就是你在注冊表中加入的新項"NetworkAddress"， 以后只要在此修改MAC地址就可以了。 關閉注冊表， 重新啟動， 你的網卡地址已改。 打開網絡鄰居的屬性， 雙擊相應網卡項會發現有一個MAC Address的高級設置項， 用于直接修改MAC地址。

　　2：第二種方法就是修改IP到MAC的映射就可使P2P攻擊的ARP欺騙失效， 就隔開突破它的限制。 方法就是在cmd下用ARP -a命令得到網關的MAC地址， 最后用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。

　　Vista和XP系統：只要用arp命令綁定自己MAC和路由MAC就行了， 如：

　　arp -s 自己IP 自己MAC

　　arp -s 路由IP 路由MAC

　　最好都綁定一下， 只綁定路由的話， 出了IP沖突就上不去了， 別人照樣能T你下線， 如果綁定了自己的話， IP沖突了也能上網。

　　Windows 9x/2000就需要軟件了， 搜索一下anti arp sniffer就行了， 設置好路由IP,mac 。 不過XP和Vista系統也可以安裝這個軟件， 可以清楚的看到誰想T你下線或者想限制你。 當然， 這樣的系統還建議更換成Vista或者XP， 只要上面設置一下， p2p終結者就報廢了。

　　Vista和XP系統在cmd狀態輸入： arp -a

　　如果路由IP 還有自己IP最后面狀態是static， 那么就表示綁定成功

　　arp -d

　　綁定之前也最好輸入一下， 刪除非法綁定。

　　看到這些， 大家都明白了吧， 其實都不難的。