早期出现的ARP攻击在网路的示显情况如下：
ping路由器的LAN IP出现Packets loss
然后又连上
这很有可能是中了ARP攻击
显示如下图。

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=2ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Request timed out.
Request timed out
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64

为了进一步确认
我们可以通过查找ARP表来判断。

输入ARP -a命令，显示如下图。

C:\WINDOWS>arp -a
Interface: 192.168.0.100 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-11-95-f1-08-38 dynamic
192.168.0.100 00-0e-35-ff-6f-54 static
192.168.0.111 00-11-95-f1-08-38 dynamic

在上述出现的IP资料中
192.168.0.1 and 192.168.0.111所出现的MAC Address
都是00-11-95-f1-08-38
这就是标准的ARP攻击会出现的MAC Address重覆问题。

在上述的ARP攻击模式主要是那该单机的MAC Address
改成跟ROUTE一样的MAC Address
以便将其原本导向ROUTE的封包导至该单机以达到ARP攻击效果。

其简易解决的方式就是将其ROUTE的MAC Address
在单机上直接设定成静态ARP即可。
指令如下:

RouteIP MAC Address
arp -d
arp -s 192.168.0.111 00-11-95-f1-08-38。


在新型ARP攻击一样是出现在PING的过程中出现Packets loss。

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=2ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Request timed out.
Request timed out
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64

但是在检查arp table却找不到有相同MAC Address
而且就算是指定的静态arp也是一样无法改善Packets loss的问题，

检查发现这是因为ARP攻击并没有将单机自身的MAC Address
改成ROUTE MAC Address而是将ROUTE所接收到的IP对映的MAC Address
都改成该单机本身的MAC Address

故在arp -a的清单中找不到重覆的MAC Address。
请在Route中执行输入show arp命令，显示如下图。

Protocol Address Age (min) Hardware Addr Type Interface
Internet 210.242.221.197 133 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.196 132 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.199 188 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.193 4 0017.31c4.3cdf ARPA FastEthernet0/0
Internet 210.242.221.195 119 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.194 0 0015.f299.a270 ARPA FastEthernet0/0

上述Hardware Addr就是MAC Address
在上述资料中会发现不同的IP却出现相同的MAC Address
请依MAC Address与arp -a所出现的MAC Address进行比对

就会出现其对映MAC Address的正确IP为何
在一般的ARP攻击与新型出现的ARP攻击

最大的差别在于一般的ARP攻击
是针对单机的MAC Address修改成ROUTE的MAC Address

所以当出现断线是是全场的大断线
而新型出现的ARP攻击
由于不一定修改了所有的IP对映的MAC Address
故在断线时也是只有在MAC Address有修改的单机

防治新型方式：
最简易的方式就是进行ARP的双向静态设定
所谓的双向静态设定是指在单机及ROUTE or 频宽管理器上
同时将全场的单机MAC Address静态设定

但针对ROUTE进行ARP静态设定维护不易
在单机换IP或换网卡都必须重新设定故建议采购频宽管理器以利维护

限制：
对进行ARP的双向静态设定时
并不是设定了双向静态设定就是所有的单机都不会被攻击
双向静态设定主要的功能是可以避免区网内有人在进行ARP攻击而产生影响
但对于在攻击的那一台单机一样还是有可能出现LAG及断线的情形

就是这个！
最近挂BT常常被这"阻断式封包"攻击...
难怪我老是断线

以下三套软体可以预防：
Necut (原本用来攻击别人的，2.0版以后可以预防攻击)
Anti-Netcut (只要一个按键就可以预防只要一个按键就可以预防，小巧简单)
AntiArpSniffer (这套软体除可以预防还可以反击攻击你的人...)