ARP反向追踪！！！！！！

今天下午我的电脑遭受了ARP攻击 因为没有技术 所以我马上就拔线了！请指点下如何反向追踪！！！！声明：我一菜鸟，太高深看不懂，尽量通俗一点！谢了！

运行CMD C:>ARP -A找到攻击者给你的假信息和攻击者的MAC码 局域网中ARP欺骗的一个主要特点就是使用了伪造的IP地址和MAC地址，我们所看到的地址都是由攻击软件精心构造出来的虚假地址，因而无法从捕捉的数据包中识别出攻击者的真正来源。尽管如此，但一个有经验的网络管理员仍然能通过查找交换机的端口来定位攻击者的来源，因为IP地址和MAC地址可以伪造，但攻击者连接到交换机的那个端口却无法伪造，利用“MAC地址-IP地址-PORT”三者之间的联系，我们就可以准确而快速地定位攻击者来源，这就是追踪ARP欺骗攻击源的基本依据。那么，如何才能发现“MAC地址-IP地址-PORT”之间的关系呢？

在交换式局域网里，由于交换机可以自动记住连接到每一个端口上面的计算机的MAC地址，因此，无论攻击者使用什么样的计算机和操作系统，只要一开机，计算机的MAC地址和端口之间的关系就被自动记录到交换机的内存中，这是正常情况下的关联；如果攻击者在他的计算机上面发起一次ARP欺骗，那么交换机就会捕捉到这个ARP欺骗包，通过拆包检查，交换机就能记住在这个端口上又出现了一个新的MAC地址，这是ARP欺骗状态下的关联。此时，交换机的内存中就会出现同一个端口对应了两个不同的MAC地址的情况：一个是攻击者真实的MAC地址，另一个则是其伪造的MAC地址。

关闭反向arp的目的是不让他自己学习dlci号 和ip对应，而采取静态map 有几个原因 1，在那种网络中，速度是很慢的，自动学习无非会占用一定的资源和网络。 2，不稳定，很多因素，由于是一种过时的技术了，也没有怎么仔细研究。 3，静态的方便管理。 4，做实验的环境下用静态的更能突出他的工作原理，以便理解。 任何事物都有利弊，就像静态路由和动态路由协议。 帧中继不是不认ip 而是不认识 大多网络所用的以太网中的mac地址 他靠的是dlci号 在以太网交换机是靠mac转发 在帧中继交换机是靠dlci转发