早期出現的ARP攻擊在網路的示顯情況如下：
ping路由器的LAN IP出現Packets loss
然後又連上
這很有可能是中了ARP攻擊
顯示如下圖。

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=2ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Request timed out.
Request timed out
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64

為了進一步確認
我們可以通過查找ARP表來判斷。

輸入ARP -a命令，顯示如下圖。

C:\WINDOWS>arp -a
Interface: 192.168.0.100 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-11-95-f1-08-38 dynamic
192.168.0.100 00-0e-35-ff-6f-54 static
192.168.0.111 00-11-95-f1-08-38 dynamic

在上述出現的IP資料中
192.168.0.1 and 192.168.0.111所出現的MAC Address
都是00-11-95-f1-08-38
這就是標準的ARP攻擊會出現的MAC Address重覆問題。

在上述的ARP攻擊模式主要是那該單機的MAC Address
改成跟ROUTE一樣的MAC Address
以便將其原本導向ROUTE的封包導至該單機以達到ARP攻擊效果。

其簡易解決的方式就是將其ROUTE的MAC Address
在單機上直接設定成靜態ARP即可。
指令如下:

RouteIP MAC Address
arp -d
arp -s 192.168.0.111 00-11-95-f1-08-38。


在新型ARP攻擊一樣是出現在PING的過程中出現Packets loss。

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=2ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Request timed out.
Request timed out
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64

但是在檢查arp table卻找不到有相同MAC Address
而且就算是指定的靜態arp也是一樣無法改善Packets loss的問題，

檢查發現這是因為ARP攻擊並沒有將單機自身的MAC Address
改成ROUTE MAC Address而是將ROUTE所接收到的IP對映的MAC Address
都改成該單機本身的MAC Address

故在arp -a的清單中找不到重覆的MAC Address。
請在Route中執行輸入show arp命令，顯示如下圖。

Protocol Address Age (min) Hardware Addr Type Interface
Internet 210.242.221.197 133 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.196 132 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.199 188 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.193 4 0017.31c4.3cdf ARPA FastEthernet0/0
Internet 210.242.221.195 119 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.194 0 0015.f299.a270 ARPA FastEthernet0/0

上述Hardware Addr就是MAC Address
在上述資料中會發現不同的IP卻出現相同的MAC Address
請依MAC Address與arp -a所出現的MAC Address進行比對

就會出現其對映MAC Address的正確IP為何
在一般的ARP攻擊與新型出現的ARP攻擊

最大的差別在於一般的ARP攻擊
是針對單機的MAC Address修改成ROUTE的MAC Address

所以當出現斷線是是全場的大斷線
而新型出現的ARP攻擊
由於不一定修改了所有的IP對映的MAC Address
故在斷線時也是只有在MAC Address有修改的單機

防治新型方式：
最簡易的方式就是進行ARP的雙向靜態設定
所謂的雙向靜態設定是指在單機及ROUTE or 頻寬管理器上
同時將全場的單機MAC Address靜態設定

但針對ROUTE進行ARP靜態設定維護不易
在單機換IP或換網卡都必須重新設定故建議採購頻寬管理器以利維護

限制：
對進行ARP的雙向靜態設定時
並不是設定了雙向靜態設定就是所有的單機都不會被攻擊
雙向靜態設定主要的功能是可以避免區網內有人在進行ARP攻擊而產生影響
但對於在攻擊的那一台單機一樣還是有可能出現LAG及斷線的情形

就是這個！
最近掛BT常常被這"阻斷式封包"攻擊...
難怪我老是斷線

以下三套軟體可以預防：
Necut (原本用來攻擊別人的，2.0版以後可以預防攻擊)
Anti-Netcut (只要一個按鍵就可以預防只要一個按鍵就可以預防，小巧簡單)
AntiArpSniffer (這套軟體除可以預防還可以反擊攻擊你的人...)