一、Windows 下ARP協議工作原理簡述

       ARP協議（Address Resolve Protocol，地址解析協議）工作TCP/IP協議的第二層：數據鏈路層，用于將IP地址協議轉換為網絡接口的硬件地址（媒體訪問控制地址 ，即MAC地址），無論是任何高層協議的通訊，最終都將轉換為數據鏈路層硬件地址的通訊。

      每臺計算機都存有一個緩存MAC地址的ARP緩存列表，可通過ARP -a 來查看當前的ARP緩存列表，此ARP緩存列表為動態(tài)更新，可通過ARP -s來靜態(tài)綁定IP地址和MAC地址，在Windows server 2003中靜態(tài)綁定的項不會被動態(tài)更新，直到TCP/IP 協議終止 ，比如重啟計算機；若要永久創(chuàng)建靜態(tài)綁定項，則需要借助計劃任務在啟動計算機時執(zhí)行該腳本執(zhí)行，此操作不在本文說明范圍。

二、取消ARP靜態(tài)綁定

        針對Windows Server 2008 系統(tǒng)，在DOS命令行（PowerShell ）中運行 ：arp -a 進行查看，具體見附圖 ，若服務器IP為 192.168.199.111   ,   可看到在 “Internet地址” 和“物理地址” 條目中發(fā)現 服務器IP 與對應的mac地址值，說明IP和MAC地址已綁定 ； 

    若要解除綁定，可運行 ：netsh i i show in  查到 Idx 值 ，比如測試服務器的Idx值為11 。

       再運行：netsh -c "i i" delete neighbors 11 刪除已綁定值即可 ，命令中“11”即為查詢出來的Idx值 ，再次運行arp -a ，如下圖，相關綁定記錄值已取消了。

三、部分安全軟件的ARP防火墻設置

（一）由于較多的用戶會在服務器上安裝防護軟件，如：安全狗、云鎖、主機衛(wèi)士、AntiARP防火墻、火絨等，這些軟件安裝后不會默認進行arp綁定設置，可參考前述方法進行查看 ，但部分存在arp防火墻等設置，在此單獨說明下安全狗arp防火墻相關設置 ，在實際使用過程中存在功能認識上的偏差，比如下圖情況，常有用戶反饋存在arp攻擊 ，而實際上為正常的arp請求數，此為正常的情況 。

         還有，由于不排除機房網絡升級等緣故，導致MAC變更，在開啟arp防火墻的情況下，存在被安全狗誤認為有網關IP欺騙攻擊的可能 ，給用戶在使用上帶來困擾，可嘗試在arp防火墻設置頁中嘗試重新操作“自動獲取”操作，并查看重新獲取之后的記錄 ； 或可直接將ARP防火墻進行關閉。

并取消下面截圖的 安全狗 網卡組件。

（二）antiARP防火墻用在Windows Server 2003 32位系統(tǒng)下 ，設置不當將導致服務器網絡無法連接，需要排查：高級參數設置 --- 常規(guī)，是否手動設置了網關IP 和 MAC綁定 ；并在 路由 選項卡中查看是否添加了其他可信路由，或 直接退出軟件后重新啟動，觀察mac 網關是否更新 。