怎么处理ARP攻击

ARP故障说明:

ping 的时候可能好久才能接收到一个响应，或者说干脆就Ping不通。网络时好时坏，通过ARP -a命令不能看到同网段的在线用户，但是net view 可以看到全网开放共享的电脑名，这时候就需要注意了，可能是ARP攻击。

有些人觉得，通过arp -a可以查出是否有ARP攻击，但是有时候无法看到arp列表存在异常IP，或者使用ARP防火墙，360防火墙、金山贝壳防火墙，防御个鬼，根本检测ARP攻击好吧。说实话，深信服以及飞塔防火墙都没有检测到ARP攻击，因为这个是公司线路接入的问题，不重要。

先准备arp检测工具:

链接：https://pan.baidu.com/s/1fIeguW94w_FFEWGJYQrBgQ 
提取码：4tzn 

--------------------

下载好工具按照步骤打开，如果有ARP病毒的话会马上检测出被攻击。

既然已经确定ARP病毒了，那我们就开始解决。

我公司接入方式：光纤信号源-防火墙-深信服行为管理-H3C三层交换机

紧急的解决方法有两种：一种是防御，一种是找源头。

防御：就是在三层交换机上设置策略，通过MAC或者IP进行阻断或者只允许绑定的MAC通讯。--这个我就不讲了，提到就坑爹

源头：拔网线，或者封LAN口，我是一根根拔掉不同片区的信号源，一步步缩小范围，进行排故。

ABC三栋厂房分别有三根光纤

拔掉其中一根，接着重启工具检测，如果没问题说明ARP攻击不在本栋，接着下一根，检测，直到发现其中一根存在ARP攻击。

确定了其中一条光纤后，进一步来到光纤的另一端，分别拔掉

机房端发现了，现在需要去光纤对应的另一端。（线路凌乱，惨不忍睹）

把交换机的所有在线线路分两批拔掉，第一批如果没问题，那就是第二批里面的其中一根，道理很好理解往复几次就查到了。

最后，发现了，192.168.1.103这个来源，就是这台笔记本，拔掉笔记本的网线全部OK。

 

后续屁话吐槽：

很多人肯定会想，这年头还有ARP攻击？

我来到一个新公司，才几天就出现了ARP攻击，我运维也五年多了，第一次遇到，说到底是原先的IT运维没有做好前期工作，不去绑定MAC白名单，而我刚来，什么都不肯交接给我，哪条光纤线路对哪栋厂房都不肯说，所以别提进入三层交换机去设置任何参数了。

因为不配合，原IT运维用他自己的方法去各种尝试解决ARP攻击，导致三四天公司几百号人的网络一天到晚断断续续的，同事都觉得因为我来了把网络整的那么差，实际上我来入职的当天，原IT刚好放了那台有ARP病毒的笔记本给其他同事用，导致我刚来就遇到ARP病毒，好吧，这个锅，我背了，今天才试用期不到半个月就被辞退，简直就是人生中的一大耻辱。