http 67.220 92.21怎么进不去了！谁有新的？

　　ARP我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

　　地址解析协议(AddressResolutionProtocol,ARP，通过遵循该协议，只要我们知道了某台机器的IP地址，即可以知道其物理地址。在TCP/IP网络下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。

　　我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

　　ARP就是通过伪造IP地址和MAC地址实现ARP，能够在网络中产生大量的ARP通信量使网络阻塞，者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人。

　　用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应，类型为static(静态)，此项存在硬盘中，而不是缓存表，计算机重新启动后仍然存在，且遵循静态优于动态的原则，所以这个设置不对，可能导致无法上网.

　　第一种ARP的原理是――截获网关数据。它通知由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在由器中，结果由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP的原理是――伪造网关。它的原理是建立假网关，让被它的PC向假网关发数据，而不是通过正常的由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

　　192.168.1.1进不去一般来说，ARP的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP发生时，只要重启由器，网络就能全面恢复，那问题一定是在由器了。为此，宽带由器背了不少“黑锅”。

　　作为网吧由器的厂家，对防范ARP不得已做了不少份内、份外的工作。一、在宽带由器中把所有PC的IP-MAC输入到一个静态表中，这叫由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。

　　在ARP缓存中添加项，将IP地址inet_addr和物理地址ether_addr关联。物理地址由以连字符分隔的6个十六进制字节给定。使用带点的十进制标记指定IP地址。项是永久性的，即在超时到期后项自动从缓存删除。

　　ARP木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网。

　　ARP木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做交易，盗窃网上银行账号来做非法交易活动等，这是木马的，给用户造成了很大的不便和巨大的经济损失。

　　说明：对于网络中有很多主机，500台，1000台...，如果我们这样每一台都去做静态绑定，工作量常大的。。。。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！

　　目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是欣向ARP工具，Antiarp等。它们除了本身来检测出ARP外，防护的工作原理是一定频率向网络正确的ARP信息。我们还是来简单说下这两个小工具。

　　打开检测功能，如果出现针对表内IP的，会出现提示。可以按照提示查到内网的ARP的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送信息，也未必是100％的准确。所有请不要以解决某些问题。

　　“制定对象”的表格里面就是设置需要的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈尽量少的IP，尽量少的频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP，可以设置到50－100次，如果还有掉线可以设置更高，即可以实现快速解决ARP的问题。但是想真正解决ARP问题，还是请参照绑定方法。

　　A.填入网关IP地址，点击［获取网关地址］将会显示出网关的MAC地址。点击[自动防护]即可当前网卡与该网关的通信不会被第三方。注意：如出现ARP提示，这说明者发送了ARP数据包来获取网卡的数据包，如果您想追踪来源请记住者的MAC地址，利用MAC地址扫描器可以找出IP对应的MAC地址。

　　右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入AntiARPSniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig/all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。

　　遭受ARP的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP是有老化时间的，过了老化时间就会自动的回复正常。现在大多数由器都会在很短时间内不停自己的正确ARP信息，使的主机回复正常。但是如果出现性ARP(其实就是时间很短的量很大的ARP，1秒有个几百上千的)，它是不断的发起ARP包来内网机器上网，即使由器不断正确的包也会被他大量的错误信息给淹没。

　　面对的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP包，对分析也会造成一定的影响。

　　局域网中我们最常接触的ARP其实并不是病毒，而是网络执法、P2P终结者之类的软件造成的，这类软件的目的其实就是封一些多线程下载的软件，譬如迅雷、Flashget等，这样一来便使得局域网中这类软件不能正常使用，从而达到自己独占大部分网络资源的目的。针对这类现象，上边的做法看上去挺麻烦的，简单一点，装一个ARP防火墙或者局域网ARP防护一般都能解决。比如360安全卫士的实时选项里的“局域网ARP拦截”，只要这一选项很多问题都迎刃而解。