一、Windows 下ARP協(xié)議工作原理簡述

       ARP協(xié)議（Address Resolve Protocol，地址解析協(xié)議）工作TCP/IP協(xié)議的第二層：數(shù)據(jù)鏈路層，用于將IP地址協(xié)議轉(zhuǎn)換為網(wǎng)絡(luò)接口的硬件地址（媒體訪問控制地址 ，即MAC地址），無論是任何高層協(xié)議的通訊，最終都將轉(zhuǎn)換為數(shù)據(jù)鏈路層硬件地址的通訊。

      每臺(tái)計(jì)算機(jī)都存有一個(gè)緩存MAC地址的ARP緩存列表，可通過ARP -a 來查看當(dāng)前的ARP緩存列表，此ARP緩存列表為動(dòng)態(tài)更新，可通過ARP -s來靜態(tài)綁定IP地址和MAC地址，在Windows server 2003中靜態(tài)綁定的項(xiàng)不會(huì)被動(dòng)態(tài)更新，直到TCP/IP 協(xié)議終止 ，比如重啟計(jì)算機(jī)；若要永久創(chuàng)建靜態(tài)綁定項(xiàng)，則需要借助計(jì)劃任務(wù)在啟動(dòng)計(jì)算機(jī)時(shí)執(zhí)行該腳本執(zhí)行，此操作不在本文說明范圍。

二、取消ARP靜態(tài)綁定

        針對(duì)Windows Server 2008 系統(tǒng)，在DOS命令行（PowerShell ）中運(yùn)行 ：arp -a 進(jìn)行查看，具體見附圖 ，若服務(wù)器IP為 192.168.199.111   ,   可看到在 “Internet地址” 和“物理地址” 條目中發(fā)現(xiàn) 服務(wù)器IP 與對(duì)應(yīng)的mac地址值，說明IP和MAC地址已綁定 ； 

    若要解除綁定，可運(yùn)行 ：netsh i i show in  查到 Idx 值 ，比如測(cè)試服務(wù)器的Idx值為11 。

       再運(yùn)行：netsh -c "i i" delete neighbors 11 刪除已綁定值即可 ，命令中“11”即為查詢出來的Idx值 ，再次運(yùn)行arp -a ，如下圖，相關(guān)綁定記錄值已取消了。

三、部分安全軟件的ARP防火墻設(shè)置

（一）由于較多的用戶會(huì)在服務(wù)器上安裝防護(hù)軟件，如：安全狗、云鎖、主機(jī)衛(wèi)士、AntiARP防火墻、火絨等，這些軟件安裝后不會(huì)默認(rèn)進(jìn)行arp綁定設(shè)置，可參考前述方法進(jìn)行查看 ，但部分存在arp防火墻等設(shè)置，在此單獨(dú)說明下安全狗arp防火墻相關(guān)設(shè)置 ，在實(shí)際使用過程中存在功能認(rèn)識(shí)上的偏差，比如下圖情況，常有用戶反饋存在arp攻擊 ，而實(shí)際上為正常的arp請(qǐng)求數(shù)，此為正常的情況 。

         還有，由于不排除機(jī)房網(wǎng)絡(luò)升級(jí)等緣故，導(dǎo)致MAC變更，在開啟arp防火墻的情況下，存在被安全狗誤認(rèn)為有網(wǎng)關(guān)IP欺騙攻擊的可能 ，給用戶在使用上帶來困擾，可嘗試在arp防火墻設(shè)置頁中嘗試重新操作“自動(dòng)獲取”操作，并查看重新獲取之后的記錄 ； 或可直接將ARP防火墻進(jìn)行關(guān)閉。

并取消下面截圖的 安全狗 網(wǎng)卡組件。

（二）antiARP防火墻用在Windows Server 2003 32位系統(tǒng)下 ，設(shè)置不當(dāng)將導(dǎo)致服務(wù)器網(wǎng)絡(luò)無法連接，需要排查：高級(jí)參數(shù)設(shè)置 --- 常規(guī)，是否手動(dòng)設(shè)置了網(wǎng)關(guān)IP 和 MAC綁定 ；并在 路由 選項(xiàng)卡中查看是否添加了其他可信路由，或 直接退出軟件后重新啟動(dòng)，觀察mac 網(wǎng)關(guān)是否更新 。