摘要：要说这个ARP协议啊，那是真不起眼，但还很重要，就跟地基一样，平时不见，少了不行。这玩意儿跟IP地址和MAC地址有关系，IP地址是门牌号，MAC地址是身份证，得靠ARP找对人，才能把信送过去，简单来说，网络上两个设备要说话，得知道对方的MAC地址才行，ARP就

ARP迷局：网络寻址的暗影与光明

要说这个ARP协议啊，那是真不起眼，但还很重要，就跟地基一样，平时不见，少了不行。这玩意儿跟IP地址和MAC地址有关系，IP地址是门牌号，MAC地址是身份证，得靠ARP找对人，才能把信送过去，简单来说，网络上两个设备要说话，得知道对方的MAC地址才行，ARP就是翻译官，把IP翻译成MAC。

这个`arp -a`命令，是侦察兵，能看到当前电脑记着的IP地址和MAC地址的对应关系，好多时候，网络不通，先看看这个，说不定有鬼，是不是地址搞错了，或者冲突了，就好像你拿着别人的身份证，想进别人家门，那肯定不行。

然后这个`arp -s`命令，是红娘，手动把IP地址和MAC地址绑死，就跟结婚一样，谁也拆不散，这种场景经常见，有些设备IP地址老变，烦人，干脆绑死，省事，但是记住，乱点鸳鸯谱，后果很严重，手一抖，输错了，整个网络都乱套了，就好像结婚结错了人，那不得家无宁日。

相对的`arp -d`就是离婚，咔嚓一下，断了联系，把ARP缓存里的记录删掉，网络上出现错误的ARP记录，就得这么干，删了重新找，就像电脑重装系统一样，保证干净，当然，全部清空要小心，你要禁止所有网络连接，否则网络那个数据交互，就像剪不断理还乱的关系，还会产生新的ARP列表。

这些都是小打小闹，真正的危险是ARP攻击，原理说起来简单，就是有人冒充好人，发假的ARP数据包，骗电脑，把目标的IP地址指向自己的MAC地址，这样一来，所有的数据都先到攻击者那里，他想干嘛就干嘛，比如窃取信息，或者直接让网络瘫痪，那感觉，就像家里进了贼，还把门锁给换了，防不胜防啊。

要判断是不是中了ARP攻击，也不是很难，就是会频繁弹出IP地址冲突的警告，或者直接上不了网，就像感冒发烧一样，身体会给你信号，但也不是绝对的，有时候也可能会误判。

那怎么防呢，这就得靠三重防御体系，第一招是端口隔离，就跟小区划分一样，把用户多的网络分成VLAN，或者进行端口隔离，这样就算有人搞事情，也影响不到其他人，这叫隔离病毒源，避免大面积感染，就像感冒了要戴口罩，防止传染。

第二招是IP/MAC绑定，这个厉害，不光电脑上要绑，交换机路由器也要绑，双向认证，确保地址映射可靠，这叫门当户对，最好把网关的IP地址和MAC地址绑死，网关是整个网络的出口，一定要保护好，这就像保护家里的正门一样，不能让坏人随便进出。

第三招是DHCP服务器，相当于物业公司，统一管理IP地址分配，减少手动配置带来的安全隐患，物业可靠还好，要是不靠谱，分配的IP地址乱七八糟，那也麻烦，但是总比自己乱来强，这就像找个靠谱的管家，省心。

还有安全区域划分，用VLAN技术，创建多个子网，就跟在公司里分部门一样，每个部门负责自己的事情，隔离广播域，缩小感染范围，这样即使一个部门出了问题，也不会影响到其他部门，这叫分而治之，风险可控。

如果真碰上ARP攻击了，也别慌，先用`arp -a`看看，正常情况下，应该只有一个网关，冒出来好几个，那肯定有问题，多出来的，就是攻击者伪装的，就像混进来了假冒警察。

然后用`arp -d`，把所有网关都清空，就像把假警察都赶出去，然后电脑会自动重新找网关，再用`arp -a`列出来，如果还有多个，就继续`arp -d`，直到只剩下一条记录，这条记录就是真正的网关，IP地址和MAC地址都在上面，记住，真的假不了。

最后，用`arp -s`重新绑定，就像重新给真警察授衔，告诉电脑，这个是真网关，以后就认准它，输入`arp -s xxx.xxx.xxx.xxx ab-cd-ef-gh-ij-kl`，把网关的IP地址和MAC地址填进去，就大功告成了，xxx.xxx.xxx.xxx表示网关的IP地址，ab-cd-ef-gh-ij-kl表示网关的MAC地址。

整个过程，听起来复杂，其实就是几个命令的事情，但是背后的原理，还是得搞清楚，要不然，只能是头痛医头，脚痛医脚，解决不了根本问题，这个ARP协议，就像网络世界的交通规则，大家都遵守，才能畅通无阻，一旦有人破坏规则，就会造成拥堵甚至事故，所以，学好ARP，保护网络安全，人人有责，大家都在想，这到底是怎么一回事。

很多人看完这个故事，都会去想，网络安全，真的离我们很近，所有人都觉得，防范于未然，才是最重要的，可是在现实中，又有多少人真正重视呢。

来源：电子小课堂一点号