ARP攻击是困扰很多校园网、网吧、大公司网络的一个问题，笔者不幸也碰到过一次，通过亲自处理得到一些经验，愿与大家一起分享。

故障现象：到一客户处帮客户解决电脑故障，一百多台电脑，时常掉线，局域网ping不通，重启路由又好了，刚开始怀疑路由故障或者线路问题，但是越来越频繁的掉线，发展到后来，有两个部门的交换机只要一接到中心交换机上，网络马上瘫痪，感觉很符合病毒、攻击漫延的规律，因此把思路转到ARP攻击上来了。

处理过程如下：

1、用ARP -a查看，原本只有一个网关的网络，竟然冒出了二十几个网关，一一记录IP和MAC地址

2、对照IP和MAC，结合IPTOOLS(注：一款自动查局域网IP、网卡编号、机器名称的软件)清点并记录可疑机器

3、用单机版anti arpsnifer(一款防ARP攻击软件)分析广播次数，查找并记录广播次数特别多的机器(注：一般机器广播次数应该半个小时之内不会超过100，超过应做记录)

4、在可疑机器上安装360安全卫士、WINDOWS清理助手等工具软件查杀病毒、木马

5、重新启用anti arpsnifer软件分析广播次数，可疑机器的广播次数明显下降

6、重新ping路由，可爱的time<1ms。至此大功告成。

分析：

1、公司很多电脑不能连公网，因此都没有更新操作系统安全补丁，为ARP攻击埋下了隐患

2、公司购买的企业版杀毒软件点不够多，有部分机器没有安装杀毒软件，为ARP攻击打开了方便之门

3、定期查杀病毒、木马很重要，一只蠕虫慢慢爬，对网络没多大影响，但是一百只蠕虫一起爬呀爬，量变就会引起质变

应对策略：

1、即时为不能连公网的机器打安全补丁

2、增加杀毒软件的授权数，以给公司提供全面的防毒保障

3、定期手动结合利用工具软件查杀病毒、木马

后记：

ARP攻击在我理解，仅仅只是一种病毒、木马的一种攻击手段，因此个人感觉不需要特别针对ARP进行防护，而更应该把精力放在如何防范木马、病毒方面，只要病毒、木马失去了活力，自然就不会有ARP攻击了!