ARP病毒原理及解决办法

　　若是您的网络出现,总体忽然掉线,或者有不定时的部分机器掉线,再或者出现一台一台机器的掉线.并且通常状况下几种掉线都会自动恢复.那基本是ARP欺骗. 

　　ARP欺骗原理:
　　在同一NET内的因此机器是经过MAC地址通信。方法为，PC和另外一台设备通信，PC会先寻找对方的IP地址，而后在经过ARP表（ARP表里面有因此能够通信IP和IP所对应的MAC地址）调出相应的MAC地址。经过MAC地址与对方通信。也就是说在内网中各设备互相寻找和用来通信的地址是MAC地址，而不是IP地址。
网内的任何一台机器均可以轻松的发送ARP广播，来宣称本身的IP和本身的MAC。这样收到的机器都会在本身的ARP表格中创建一个他的ARP项，记录他的IP和MAC地址。若是这个广播是错误的其余机器也会接受。例如： 192.168.1.11机器MAC是 00:00:00:11:11:11,他在内网广播本身的IP地址是192.168.1.254(实际上是路由器的IP)，MAC地址是00:00:00:11:11:11(他本身的真实MAC).这样你们会把给192.168.1.254的信息和发给00:00:00:11:11:11.也就是192.168.1.11。

　　解决办法：
　　1. 用sniffer或etherpeek软件查看，找出常常发包的mac地址。（这个mac地址特色是：多数客户端的arp表中都有这个记录，并且其ip是网关的地址）
　　2. 到网关上查看网关的mac地址是否就是这个mac地址。若是是，则不是arp中毒；若是不是，那就能够肯定中了arp病毒，并继续下面的步骤
　　3.. 到交换机中查看mac缓存。用#show mac-address-table命令（这个命令是思科交换机的），找出这个mac地址对应的端口，而后拔掉这个接口网线，以解决断网问题并肯定是哪台计算机。