经历了一次 ARP 中间人攻击

ARP中间人攻击网上的资料很多，关于原理什么的不再赘述，这里只写一点个人经历的感受及解决思路

先是发现服务器上的一个服务莫名奇妙地无法访问了，后发现所有端口都无法访问 —— 服务器失联了。局域网内部只有部分客户端能正常访问，且时好时坏

通过 arp 命令发现相同的IP地址，在不同的客户端上 MAC 地址是不同的，感觉是 IP 地址冲突了。经查网络专人管理，近期没有添加网络设备，没有配置静态IP地址，不太可能是因修改配置导致的IP地址冲突

后经分析命令 arp -a 的结果发现有10多个 IP 地址指向了相同的 MAC 地址。这时候基本确认是 ARP 中间人攻击了

下边以TP-LINK路由器说明，各品牌路由器大同小异

路由器中“DHCP服务器”下的“静态地址保留”与“IP与MAC绑定”是两个完全不同的功能

“静态地址保留”只是在分配IP地址的时候使用使用一下

正真防止ARP中间人攻击的是后者“IP与MAC绑定”。对于局域网内的服务器一定要在这里进行绑定，不管网络中是否存在ARP病毒

其实路由器中“静态ARP绑定设置”中已经说的很清楚了，只是没经历过这种攻击，就没有深刻的体会

网上查到的在客户端机器中用 arp -s 命令添加静态记录的方式，只能解决本客户端访问的问题

让很多 IP 指向自己的那个 MAC 多半是罪魁祸首，黑客程序很可能就在那台设备中

问题解决后及时修改服务器的密码等相关机密信息，以防被利用