在局域網(wǎng)中，通過ARP協(xié)議來進行IP地址(第三層)與第二層物理地址(即MAC地址)的相互轉(zhuǎn)換。網(wǎng)吧中的一些設(shè)備如路由器、裝有TCP/IP協(xié)議的電腦等都提供ARP緩存表，以提高通信速度。目前很多帶有ARP欺騙功能的攻擊軟件都是利用ARP協(xié)議的這個特點來對網(wǎng)絡(luò)設(shè)備進行攻擊，通過偽造的MAC與局域網(wǎng)內(nèi)的IP地址對應(yīng)，并修改路由器或電腦的ARP緩存表，使得具有合法MAC的電腦無法與IP對應(yīng)，從而無法通過路由器上網(wǎng)。

在掉線重啟路由器后，ARP緩存表會刷新，網(wǎng)絡(luò)會在短時間內(nèi)恢復(fù)正常，待ARP攻擊啟動后，又出現(xiàn)斷網(wǎng)現(xiàn)象，如此反復(fù)，很容易被誤斷為路由器“死機”，從而使得網(wǎng)吧網(wǎng)管員無法及時采取行動迅速恢復(fù)網(wǎng)吧的正常營運。說白一點，就是你要訪問網(wǎng)絡(luò)的時候需要通過一個服務(wù)器，但是中毒的主機，就會在中間截住服務(wù)器發(fā)給你的數(shù)據(jù)包，并在中間加上他的內(nèi)容以后再發(fā)給你。這樣，你要看的網(wǎng)頁就會多出來一段代碼。

如果是你是單機上網(wǎng)，那么殺一下毒就可以了。如果是局域網(wǎng)上網(wǎng)，那么下面的就是解決辦法：

路由器端，將客戶機的MAC地址和IP地址一一綁定，沒有被綁定的電腦就上不了網(wǎng)，因為中毒的主機要想用ARP攻擊，就得不斷變化自己的MAC地址來截取和發(fā)送數(shù)據(jù)包。做完這一步基本上已經(jīng)能解決問題了。下面這轉(zhuǎn)載的這個問題的一些延升。

另外，在局域網(wǎng)中，一般只有兩類設(shè)備帶有ARP緩存，一類是路由器，另一類是上網(wǎng)電腦，也只有這兩類設(shè)備最容易受到ARP攻擊。如同路由器受到ARP攻擊時數(shù)據(jù)包不能到達電腦一樣，上網(wǎng)電腦受到ARP攻擊時，數(shù)據(jù)包也不會發(fā)送到路由器上，而是發(fā)送到一個錯誤的地方，當然也就無法通過路由器上網(wǎng)了。因此，網(wǎng)吧要對付ARP攻擊，除對路由器進行IP與MAC綁定以外，在電腦上進行IP與MAC綁定也必不可少。

ARP攻擊之路由器進行的IP與MAC綁定

對路由器進行的IP與MAC綁定前面已經(jīng)介紹過，在電腦上進行IP與MAC綁定該如何操作呢?其實微軟的操作系統(tǒng)中都帶有ARP這一命令行程序，在電腦的Windows命令行界面中輸入“arp-s +路由器IP如192.168.1.1+路由器LAN口MAC地址”就可以將的路由器IP和MAC綁定到電腦的ARP表中。 若通過Windows命令行界面中輸入ARP命令來綁定IP與MAC，電腦每次在重啟后都需要先輸入ARP命令，還有更簡單的辦法，可以讓電腦每次啟動時，自動將路由器的IP與MAC綁定到電腦的ARP表中：

第一步：新建一個批處理文件如static_arp.bat，注意后綴名為bat。編輯它，在里面加入ARP命令，并保存。

要得到路由器的LAN口MAC地址，可以查看路由器的界面中的“LAN運行狀態(tài)”。

第二步：將建立好的批處理文件static_arp.bat拷貝到系統(tǒng)的啟動目錄中。電腦每次啟動時將自動運行該文件，自動綁定IP與MAC。

第三步：將static_arp.bat文件拷貝到網(wǎng)吧內(nèi)所有電腦的系統(tǒng)啟動目錄中。

至此，網(wǎng)吧中的所有電腦都將路由器的IP與MAC綁定到ARP表中，無需再擔心因ARP攻擊而無法上網(wǎng)。

特別提示：當使用了ARP防范功能(IP和MAC綁定功能)后，電腦應(yīng)使用固定IP，而不要使用動態(tài)IP(通過DHCP自動獲取IP)，因為若使用動態(tài)IP，電腦每次啟動時所獲得的IP可能不一樣，從而可能造成與路由器中保存的IP與MAC綁定條目不一致，這樣電腦將無法上網(wǎng)。

不過上面的是治標不治本的方法。要治本的話,就要去機房看看了,看交換機上哪能個電腦的流量最大,燈狂閃,把他撥了,再上網(wǎng)試,這時候如果發(fā)現(xiàn)所有電腦都上不了網(wǎng)了,或是連路由器也PING不通了,那么恭喜你,你找到這個主機了,把路由器重啟一下,再去專門整那個中毒的機器吧,沒把病毒清理干凈前,不要讓這個機器接入局域網(wǎng)。