LCD電視維修探討1

編號：時間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第頁引言液晶（LCD）顯示是近年來發(fā)展最快的顯示技術(shù)之一。我們公司液晶電視的生產(chǎn)、銷售正在全面上漲。國內(nèi)同行也在向液晶電視生產(chǎn)轉(zhuǎn)移。已經(jīng)有部分同行將CRT電視撤出一級城市，主推液晶電視。我們公司的LCD電視也已是整個公司發(fā)展的重中之重。在生產(chǎn)過程中對不良品的及時維修也是保證品質(zhì)的一種手段。這就對我們生產(chǎn)過程中的維修提出的新的要求，如何快速的判斷故障位置，排除故障原因，及時有效的保證品質(zhì)。為此我們對修理過程中的一些經(jīng)驗作出總結(jié)，找到部分共同點。與大家共同學(xué)習(xí)。1.LCD電視和CRT電視的區(qū)別1成像原理不同：LCD電視和CRT電視最大的區(qū)別是在圖像成像原理上不同。CRT電視是通過電子轟擊熒光粉發(fā)光。LCD電視是通過控制液晶的分子排列狀態(tài)的變化使背光源射出可見光，通過折光板變?yōu)閱蜗蚬馔高^驅(qū)動板射向液晶盒，主機輸出的信號被電路轉(zhuǎn)換后控制驅(qū)動板上每一個MOS管的驅(qū)動電壓，從而控制相應(yīng)部位液晶兩端電壓，也就控制透過的光線強度，通過色膜而顯示出一個個象素點，組成一幅圖像。1.2掃描方式不同：在LCD電視中沒有模擬信號控制偏轉(zhuǎn)線圈的行場部分和高壓形成部分。LCD電視是通過數(shù)字信號對驅(qū)動板上的掃描電極母線（X）和尋址電極母線（Y）的交叉處TFT控制來顯示圖像。因此在LCD電視接收到電視信號后的處理到Y(jié)UV信號之前和CRT電視是一樣的，LCD電視將模擬的YUV信號轉(zhuǎn)換為數(shù)字的YUV信號，再對數(shù)字信號進行一系列處理，最后將其轉(zhuǎn)變?yōu)榭梢越o液晶顯示屏識別的數(shù)字信號。我們只需要對后面的數(shù)字信號的處理加以認識便可以對LCD電視的維修胸有成竹。2.LCD維修思路2.1信號處理LCD電視的模擬信號處理部分、伴音部分和CRT電視是一樣的?？梢岳迷诰S修CRT電視時積累的經(jīng)驗來進行維修。在此不做討論。模擬信號經(jīng)過處理得到的模擬YUV信號通過A/D轉(zhuǎn)換得到8bit的數(shù)字YUV信號，然后對數(shù)字YUV信號進行隔、逐行變換、矩陣處理、運動檢測、畫面縮放處理和OSD顯示處理，最后經(jīng)LVDS編碼為液晶顯示屏可以識別處理的數(shù)字信號。由于電路多采用集成IC，分立元件很少。各種功能都集中在IC內(nèi)完成，外圍只是一些供電、輸入輸出、總線輸入、振蕩等元件。那么維修的重點也就放在測試這些元件上。比如：當(dāng)一個IC的供電、振蕩、總線、輸入等電壓、波形正常時，輸出也就有一定的電壓和波形，如果沒有，我們就要更換IC進行嘗試，來判斷IC是否有損壞。2.2各種輸入信號含義HDCP：（High-BandwidthDigitalContentProtection）高頻寬數(shù)字內(nèi)容保護。HDMI：（HighDefinitionMultimediaInterface）高清晰度多媒體接口。（可以傳遞影音信號）DVI：（DigitalVisualInterface）數(shù)字顯示接口。（不能傳遞聲音信號）VGA：（VideoGraphicsArray）視頻圖形陣列（不能傳遞聲音信號）其它端口：S端子、AV、SCERT、YPbPr、YCbCr和CRT電視相同。3.原理框圖（公司生產(chǎn)的兩種系列框圖）3.1A系列原理框圖：3.2H系列數(shù)字板原理框圖3兩種系列所用芯片比較：3.3.1A系列所用芯片表：A系列TVAV、S端子HDTV高清VGADVI電源部分伴音部分LCD1526A均采用一體化數(shù)字高頻頭TVP5417GM2221無DVI功能12V電源適配器1142、1517LCD1726ALCD2026AMSG3410、TA2024通過上表，我們可以看出一些共同之處：1.1TV部分采用的高頻板，都可以代換；1.2TV、AV、S端子的信號都輸入TVP5417（數(shù)字視頻解碼），輸出8BIT的YUV信號；1.3GM2221或GM5221輸出10BIT的LVDS信號到顯示屏；1.4伴音部分都是經(jīng)過音效處理J1142、MSG3410到伴音功放1517、TA2024；1.5電源適配器都是外協(xié)工廠加工，只要輸出電壓一樣可直接更換。3.3.2H系列所用芯片表：H系列TV部分AV部分HDTV高清VGADVI電源部分伴音部分LCD2726采用一體化數(shù)字高頻頭TDA9321TDA9181TDA9178模擬板MST9885AFIL2300數(shù)字板BGA388數(shù)字板電源板（12V、24V）MSG3410、TA2404LCD3026LCD32B66LCD37A71LCD40A71通過上表，我們可以看出一些共同之處：2.1TV部分采用的高頻板，可以代換；2.2TV、AV、S端子的信號都輸入TDA9321（視頻解碼），TDA9181（亮色分離）的Y、C分離，從TDA9321輸出YUV到TDA9178（畫質(zhì)改善）輸出YUV；2.3HDTV、TV、AV、S端子（YUV）輸入到MS9885A（MST9883）進行模數(shù)轉(zhuǎn)換輸出8BIT的YUV信號，到FIL2300（FIL2200）進行形式隔、逐行切換輸出到BGA388，BGA388經(jīng)過內(nèi)部處理輸出10BIT的LVDS信號到顯示屏；DVI信號輸入到SIL1610（TMDS接收器）然后輸出到BGA388；VGA信號也輸入到BGA388，經(jīng)過BGA388內(nèi)部（縮放、OSD）處理輸出10BIT的數(shù)字信號經(jīng)LVDS編碼器后輸出信號到顯示屏；2.5電源為單獨的電源板，同種批次機型時可以互相代換。由以上原理框圖和線路對比我們可以看出檢修的重點在數(shù)字電路中（數(shù)字板）。我們可以將數(shù)字板看作是：將標(biāo)準(zhǔn)視頻信號轉(zhuǎn)換為適合液晶顯示屏的數(shù)字信號的橋梁。我們在檢修中需要確立的關(guān)鍵點就應(yīng)該是數(shù)字信號的輸出和控制屏開始工作的控制電壓。3.4關(guān)鍵點電壓：關(guān)鍵點的幾個名詞：BRI：控制背光板的亮度；SW1：控制背光板的開關(guān)。到背光板的連線(V)到屏連線的供電(V)機型BRISW1背光板供電(VCC)CMOLG三星150.43.21212170.43.212512200.43.212512230.43.212512270.43.224512300.43.224512320.43.2245370.43.2245403.23.2245無論何種機型，只要這幾個點的電壓（只作為參考）如上表所示，我們可以認為機器已經(jīng)開始工作。如果還是無光、無像應(yīng)更換顯示屏、背光板、連接線。3.5兩種系列的原理和關(guān)鍵測試點電壓圖：A系列原理和關(guān)鍵測試點電壓圖：H系列原理和關(guān)鍵測試點電壓圖：4.維修思路4.1不開機不開機（待機指示燈不亮）檢查MCU部分的5V供電、LED的控制、I2C總線等電路。不開機（燈閃不開機）主要為數(shù)字板的MCU的供電、振蕩、復(fù)位、I2C總線、數(shù)字板與模擬板之間的數(shù)據(jù)交換TXD和RXD、模擬板的MCU的供電、I2C總線等線路。還要注意軟件的抄寫。4.2無光參照3.4表所列電壓。如果此機型有這幾個電壓，那么需更換背光板、顯示屏。反之就更換數(shù)字板、模擬板等來判斷是何種板壞，以縮小范圍進行維修。4.3無像輸入AV、高清等信號。如果AV、高清正常，就先更換高頻板，是高頻板不良，主要檢查高頻頭的供電、I2C總線、AFT、AGC是否輸入到高頻頭，反之更換高頻頭；當(dāng)高頻板正常時，就要檢查高頻板到TDA9321等電路。當(dāng)TV、AV無像高清有像時就需要檢查TDA9321、TA9181、TA9178等電路。如TV、AV、高清都無像時，就要檢查MST9885、FIL2300等電路。4.4無聲或聲音不良輸入AV、PC等伴音信號，來判斷是那部分的問題。逐步判斷是什么位置的原因。4.5像不良輸入TV、AV、高清、VGA、DVI各種信號來判斷是什么位置的原因。5.維修中的注意事項：5.1機內(nèi)有大量MOS電路，所以維修時必須采取防靜電措施；5.2PCB板為多層板，布線細密，烙鐵溫度要控制在240℃--300℃，操作時間不到超過5—7秒，不可生拉硬撬。焊接時一定要使用恒溫烙鐵，并且要在每次使用恒溫烙鐵前檢測防靜電接地。5.3在拆取IC時要使用高溫風(fēng)筒，并且在高溫風(fēng)筒上加裝聚風(fēng)口，對準(zhǔn)IC元件腳加熱，應(yīng)避免對整個IC加熱，因為高溫可能損壞IC。5.3防止弄污屏面，應(yīng)戴手套。手指的汗液會對屏造成難已清除的指印。5.4防止損壞屏面，應(yīng)輕拿輕放。避免用手指接觸屏面，過大的壓力持續(xù)時間較長會對屏里的液晶造成無法恢復(fù)的損傷。5.5防止撞壞屏面，維修時應(yīng)在屏面加保護膠片。5.6燈管供電插座不可插反，否則會損壞燈管。5.7維修后切記恢復(fù)斷開點和恢復(fù)原有工藝?？偨Y(jié)在今后的生產(chǎn)中會不斷的有新機型推出，對待新機型我們該采取以下方法快速畫出標(biāo)準(zhǔn)化的信號流程圖。確認各關(guān)鍵點的電壓和波形標(biāo)注到信號流程圖中找到各級信號流程的輸入、輸出和工作條件的測試點找出控制屏的關(guān)鍵電壓BRI、SW1VCC、確認各關(guān)鍵點的電壓和波形標(biāo)注到信號流程圖中找到各級信號流程的輸入、輸出和工作條件的測試點找出控制屏的關(guān)鍵電壓BRI、SW1VCC、由后向前,確定關(guān)鍵測試點根據(jù)輸入信號,找出信號的公共流程和單獨流程查找IC功能理解原理框圖,畫出信號流程。在具體的維修中建立標(biāo)準(zhǔn)化的故障維修流程，對提高修理工的修理技能有巨大的作用，可以用最短的時間完成維修工作，提高維修的工作效率。根據(jù)流程逐級前推直到找到原因。檢測輸入檢查單元電路工作條件檢測輸出結(jié)合信號流程判斷故障范圍確認故障根據(jù)流程逐級前推直到找到原因。檢測輸入檢查單元電路工作條件檢測輸出結(jié)合信號流程判斷故障范圍確認故障故障壞機故障壞機通過以上方法在LCD工廠的推廣，在7月份清機率首次達到100%，修理工的整體水平明顯提高，在7月份開始生產(chǎn)的V6和LCD40A71-P的生產(chǎn)過程中用同樣的方法去分析和維修效果明顯，沒有因為新機型的生產(chǎn)影響清機。以上方法可以解決維修過程中80%-90%的壞機，還有個別壞機，需要在今后工作中不斷總結(jié)提高。附件1：下頁為實際維修案例。附件2：各關(guān)鍵測試點波形。關(guān)鍵測試點波形維修案例機型:LCD2026A故障現(xiàn)象:S端子無彩色分析與原因:S端子無彩色主要檢查S端子的色度信號,C信號由數(shù)字板J3輸入,經(jīng)C140,C141濾波,R108限流,L35,L49低通濾波,C128耦合輸入到U15的第一腳,用示波器測量第一腳波形正常,測量電壓為零,斷開電源,分別測量U15的第一腳的正反向電阻,發(fā)現(xiàn)均為無窮大,因此可以推斷是U15內(nèi)部開路引起的,更換U15后,故障排除.維修人:夏佑文機型:LCD3026故障現(xiàn)象:TV狀態(tài)八級灰度偏紅色分析與原因:其它狀態(tài)圖像正常,而TV狀態(tài)偏紅色,故障應(yīng)該在模數(shù)轉(zhuǎn)換電路或倍頻電路,圖像解碼電路,先檢測U3(模數(shù)轉(zhuǎn)換AD9985),因為是偏紅色,用萬用表測RP5,RP6(8位數(shù)字紅色信號)的電壓,發(fā)現(xiàn)電壓偏高,把RP5,RP6斷開,再測U3輸出的數(shù)字紅色信號電壓,還是偏高,懷疑是U3不良,將U3更換后,故障一樣,可能是輸入信號不正常引起的,用示波器測U3的第54腳波形時,而紅色色差信號是由C24耦合輸入到U3的,問題可能是C24漏電引起的,將C24更換后,故障排除.維修人:夏佑文機型：LCD1526A故障現(xiàn)象：無像故障原因與分析：通電觀察現(xiàn)象，AV，TV，VGA都無像，顯示屏有光，無字符，先測量各點電壓（5V，3.3V，1.8V）均正常，F(xiàn)1處的電壓12V無正常，總線電壓，波形也有，U6的供電也正常，再用示波器測X1，X2也起振，測量RN1和RN6等排阻無波形，懷疑U4和U6其中一個不良，更換以后，故障一樣，再測量U6與U4之間的連接間的各點電壓，發(fā)現(xiàn)U6的2腳無電壓，折下測它的阻值，發(fā)現(xiàn)U6的20腳到U4之間的連線開路，修復(fù)后裝上U6，開機正常，U6是一個抄寫的程序IC，它與U4之間沒有正常工作，所以造成無像?！S修人：劉明銳機型：LCD2026A故障現(xiàn)象：AV，TV無像原因與分析：通電觀察現(xiàn)象，AV，TV無像，VGA正常，AV，TV顯示無信號，說明AV，TV的信號沒有到U4去，初步判斷故障原因在U15視頻解碼部份，首先測量U15供電，時鐘，數(shù)據(jù)線的電壓，X2晶振也正常，RN7，RN8無輸出波形，更換U15，仍無像，用示波器測RN7，RN8兩端的波形正常，但還是無像，仍然顯示無信號，再測量RN7，RN8到U4有沒有波形，發(fā)現(xiàn)RN7的Y信號到U4的引腳無波形，斷開RN7，測量它們之間的銅皮，有兩根銅皮開路，修復(fù)后開機正常，故障排除?！S修人：劉明銳機型：LCD3026H故障現(xiàn)象：不開機原因與分析：通電觀察現(xiàn)象，開機以后，指示燈一直在閃，到了正常開機以后，指示燈還不停地閃爍，而且比正常開機時閃得快，判斷是數(shù)字板的問題，先測量CPU那部分IC的供電電壓（U31.U19.U22.U21.U20）均正常，總線有電壓，無波形，更換U19，U31以后，故障一樣，再測量U3，U39各點的電壓均正常，總線無波形，故障原因應(yīng)該還是在CPU部分，這時，測U31各引腳的電壓和波形，發(fā)現(xiàn)13腳和14腳無波形，無電壓，正常應(yīng)該有1.4V的電壓在抖動，折下U31測量，14腳到U31之間的銅皮開路，修復(fù)后開機正常，故障排除?！S修人：劉明銳LCD3026數(shù)字板維修案例制作：李靜機型：LCD3026H故障現(xiàn)象：燈閃（偶爾可以開機，但是畫面不良）〈見圖1〉分析：首先遇到此故障應(yīng)先檢查供電，如U1的3.3V，U5的3.3V，U26的2.5V等幾組電壓工作正常與否。在檢查ⅡC總線電壓及波形，是否正常。在用萬用表DC*10V檔測P2的RST腳電壓是否為高電平，以上都正?；究梢耘卸☉?yīng)為CPU部分引起，即U19與U31外圍電路或IC本身。檢修：通過以上分析，檢測供電電壓都很正常，IIC總線電壓有異常，有時電壓很低。確定了問題可能出現(xiàn)在與總線相關(guān)的U19.U6.U3.U22上，但有時能夠開機且有畫面，只有畫面豎條干擾，通過開機后檢測VGA畫面（60HZ.75HZ.85HZ）后判定BGAIC（U11）與U12.U13基本無問題，問題縮小至U6.U3上，再打開工廠菜單關(guān)掉MODE功能（即U6的緩存U7的工作），然后通過斷開U6.U3.的IC總線電阻（R195.R196.R12.R13）后，開機總線電壓正常，在接上R195.R196開機，開機后IIC總線電壓有回到了幾乎為0V的電壓，斷電后再次斷開R195.R196通電IIC電壓正常，后用歐姆*10檔測量U6的47.48腳對地阻值，發(fā)現(xiàn)47腳阻值偏小，差不多只有幾十歐。然后更換U6將斷開電阻焊回，通電試機，故障排除。<見圖5>圖1(畫面豎線干擾)圖5(好機)機型：LCD3026H故障現(xiàn)象：TV像不良（VGA60HZ正常.70HZ.75HZ等與TV畫面干擾相同）<見圖2>分析：通過觀察故障現(xiàn)象，可以確定出現(xiàn)問題的地方應(yīng)該是BGAIC（U11）與其兩個緩存IC（U12.U13）的問題。因為根據(jù)LCD3026數(shù)字板的流程原理，當(dāng)出現(xiàn)TV像不良（即不規(guī)則的豎條干擾）?？梢酝ㄟ^VGA的不同的顯示頻率來斷定是BGA前的問題，還是BGA這一塊的問題。當(dāng)BGA在60HZ的情況下，只通過BGA處理而不通過緩存（U12.U13）處理。當(dāng)達到了70HZ或以上的頻率時，要通過BGA和緩存的處理。經(jīng)過簡單的分析后，所以確定了故障的部位，位于U11.U12.U13及外圍電路。檢修：首先用萬用表測量U12.U13的供電，即FB82.FB83為3.3V正常，再用示波器測板底的RP11.RP13.RP14.RP15.RP12幾個排阻的波形，當(dāng)測到RP13的第2.3腳時，波形相同且中間有一條直線<見圖3>,而好機的波形沒有直線<見圖4>。圖3(箭頭所指為亮的橫線)圖4(好機中沒有)這就說明此兩腳短路。最后發(fā)現(xiàn)RP13的第2.3腳有和細的一點錫絲相連，用烙鐵將錫脫掉，開機后，故障排除。<見圖5>圖2(豎條不規(guī)則干擾)圖5(好機)LCD32A71數(shù)字板維修案例--制作：李靜機型：LCD32A71數(shù)字板故障現(xiàn)象：像亮分析：TV圖像偏亮.HDTV圖像也偏亮，VGA和DVI正常。從故障現(xiàn)象，可簡單分析出問題可能出現(xiàn)在U37U3U39這一段線路上。檢修：首先檢查U37的Y信號輸出腳（4腳）（因為TV和DTV的圖像都偏亮，故排除TV/HDTV的Y信號的問題），其電壓為1.2V，好機為1.3V左右，問題應(yīng)該就出現(xiàn)在這里。初步懷疑為U37不良，對換U37后，再量電壓，故障依舊。斷開L2測量電壓，發(fā)現(xiàn)R7處電壓正常。問題出在后面，用電阻法，將萬用表打到1K檔，測量L1對地阻值，發(fā)現(xiàn)反向有阻值，而好機沒有。好機只有C20電解電容充放電的過程，壞機則沒有。斷定問題可能出現(xiàn)在C20上，更換C20，開機后故障排除。機型：LCD32A71數(shù)字板故障現(xiàn)象：無像分析：無像但屏有光，只是沒有字符，可以判定原因應(yīng)為U11后級問題。檢修：用示波器測量U11輸出R.G.B數(shù)字波形，均可看到波形，與好機對比也正常。說明U11工作正常，再檢測U13-1的供電腳（1.9.26）也有電壓。再檢測U13-1的ⅡＣ總線電壓與波形也正常。檢測到H.V同步信號時，發(fā)現(xiàn)V同步信號沒有電壓，且無波形，H同步信號正常。順延V同步信號查找，發(fā)現(xiàn)R13-6前端有V同步信號波形，而后端沒有，用電阻檔測量其阻值，發(fā)現(xiàn)R13-6阻值無窮大，說明其開路，更換后故障排除。機型：LCD32A71數(shù)字板故障現(xiàn)象：VGA無DDC分析：DDC就是電腦檢測新的顯示器，所顯示的程序安裝數(shù)據(jù)。且為通過ⅡＣ總線訪問，故檢查其供電與總線連接問題。檢修：IIC總線是U8的總線與電腦的總線連接訪問數(shù)據(jù)。通電后測量其波形，U8的5.6腳，波形正常，再測量電壓也正常（4V左右）。測量供電（8腳）也有5V為正常。順延檢查IIC至P11的12.15腳也正常。最后懷疑為IC程序問題，試更換U8，但在換U8時發(fā)現(xiàn)其插座的1.2腳有一根很小的銅絲相連，用刀割開，再插上IC通電試機，故障排除。此機因為兩腳相連，使總線訪問不到數(shù)據(jù)，引起讀不出IC程序。附錄資料：不需要的可以自行刪除超全ARP知識什么是ARPARP（AddressResolutionProtocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層（也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)鏈路層（也就是相當(dāng)于OSI的第二層）的物理地址(注:此處物理地址并不一定指MAC地址)。ARP原理：某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。因此，當(dāng)局域網(wǎng)中的某臺機器B向A發(fā)送一個自己偽造的ARP應(yīng)答，而如果這個應(yīng)答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當(dāng)A接收到B偽造的ARP應(yīng)答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡(luò)不通，導(dǎo)致A不能Ping通C！這就是一個簡單的ARP欺騙。（讀者注：某機器A利用其它某機器B的IP地址和一個事實上并不存在的MAC地下向另一臺機器C發(fā)出ARP請求，導(dǎo)致C中的ARP緩存表的錯誤映射，稱為ARP欺騙）ARP協(xié)議的工作原理在每臺裝有tcp/ip協(xié)議的電腦里都有一個ARP緩存表，表里的ip地址與mac地址是一一對應(yīng)的，如圖。arp緩存表以主機A（）向主機B（）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)的MAC地址，直接把目標(biāo)的MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表里面沒有目標(biāo)的IP地址，主機A就會在網(wǎng)絡(luò)上發(fā)送一個廣播,目標(biāo)MAC地址是“ff-ff-ff-ff-ff-ff”，這表示向同一網(wǎng)段的所有主機發(fā)出這樣的詢問：“的mac地址是什么呀？”網(wǎng)絡(luò)上的其他主機并不回應(yīng)這一詢問，只有主機B接受到這個幀時才向A作出回應(yīng)：“的MAC地址是00-aa-0-62-c6-09。（如上表）”這樣，主機A就知道了主機B的MAC地址，就可以向主機B發(fā)送信息了。同時，它還更新了自己的ARP緩存表，下次再向B發(fā)送數(shù)據(jù)時，直接在ARP緩存表找就可以了。ARP緩存表采用老化的機制，在一段時間里表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢的速度。如何查看ARP緩存表ARP緩存表示可以查看的，也可以添加和修改。在命令提示符下，輸入“arp-a”就可以查看arp緩存表的內(nèi)容了。用“arp-d”可以刪除arp緩存表里的所有內(nèi)容。用“arp-s“可以手動在arp表中制定ip地址與MAC地址的對應(yīng)關(guān)系。ARP欺騙的種類ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。一般來說，ARP欺騙攻擊的后果非常嚴重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解，出現(xiàn)故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。arp欺騙－網(wǎng)絡(luò)執(zhí)法官的原理在網(wǎng)絡(luò)執(zhí)法官中，要想限制某臺機器上網(wǎng)，只要點擊"網(wǎng)卡"菜單中的"權(quán)限"，選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行，從右鍵菜單中選擇"權(quán)限"，在彈出的對話框中即可限制該用戶的權(quán)限。對于未登記網(wǎng)卡，可以這樣限定其上線：只要設(shè)定好所有已知用戶（登記）后，將網(wǎng)卡的默認權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個功能就可限制用戶上網(wǎng)。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關(guān)IP地址對應(yīng)的MAC，使其找不到網(wǎng)關(guān)真正的MAC地址，這樣就可以禁止其上網(wǎng)。修改MAC地址突破網(wǎng)絡(luò)執(zhí)法官的封鎖根據(jù)上面的分析，我們不難得出結(jié)論：只要修改MAC地址，就可以騙過網(wǎng)絡(luò)執(zhí)法官的掃描，從而達到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法：在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Class/子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網(wǎng)卡，就有0001，0002在這里保存了有關(guān)你的網(wǎng)卡的信息，其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述，比如我的網(wǎng)卡是Intel21041basedEthernetController），在這里假設(shè)你的網(wǎng)卡在0000子鍵。在0000子鍵下添加一個字符串，命名為"NetworkAddress"，鍵值為修改后的MAC地址，要求為連續(xù)的12個16進制數(shù)。然后在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵，在該子鍵下添加名為"default"的字符串，鍵值為修改后的MAC地址。在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串，其作用為指定NetworkAddress的描述，其值可為"MACAddress"。這樣以后打開網(wǎng)絡(luò)鄰居的"屬性"，雙擊相應(yīng)的網(wǎng)卡就會發(fā)現(xiàn)有一個"高級"設(shè)置，其下存在MACAddress的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以后只要在此修改MAC地址就可以了。關(guān)閉注冊表，重新啟動，你的網(wǎng)卡地址已改。打開網(wǎng)絡(luò)鄰居的屬性，雙擊相應(yīng)網(wǎng)卡項會發(fā)現(xiàn)有一個MACAddress的高級設(shè)置項，用于直接修改MAC地址。MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)部。這個地址與網(wǎng)絡(luò)無關(guān)，即無論將帶有這個地址的硬件（如網(wǎng)卡、集線器、路由器等）接入到網(wǎng)絡(luò)的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設(shè)定。MAC地址通常表示為12個16進制數(shù)，每2個16進制數(shù)之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數(shù)，08:00:20代表網(wǎng)絡(luò)硬件制造商的編號，它由IEEE分配，而后3位16進制數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號。每個網(wǎng)絡(luò)制造商必須確保它所制造的每個以太網(wǎng)設(shè)備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。這樣就可保證世界上每個以太網(wǎng)設(shè)備都具有唯一的MAC地址。另外，網(wǎng)絡(luò)執(zhí)法官的原理是通過ARP欺騙發(fā)給某臺電腦有關(guān)假的網(wǎng)關(guān)IP地址所對應(yīng)的MAC地址，使其找不到網(wǎng)關(guān)真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網(wǎng)絡(luò)執(zhí)法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網(wǎng)關(guān)，然后再用ARP-a命令得到網(wǎng)關(guān)的MAC地址，最后用ARP-sIP網(wǎng)卡MAC地址命令把網(wǎng)關(guān)的IP地址和它的MAC地址映射起來就可以了。找到使你無法上網(wǎng)的對方解除了網(wǎng)絡(luò)執(zhí)法官的封鎖后，我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網(wǎng)IP段，然后查找處在"混雜"模式下的計算機，就可以發(fā)現(xiàn)對方了。具體方法是：運行Arpkiller（圖2），然后點擊"Sniffer監(jiān)測工具"，在出現(xiàn)的"Sniffer殺手"窗口中輸入檢測的起始和終止IP（圖3），單擊"開始檢測"就可以了。檢測完成后，如果相應(yīng)的IP是綠帽子圖標(biāo)，說明這個IP處于正常模式，如果是紅帽子則說明該網(wǎng)卡處于混雜模式。它就是我們的目標(biāo)，就是這個家伙在用網(wǎng)絡(luò)執(zhí)法官在搗亂。局域網(wǎng)ARP欺騙的應(yīng)對一、故障現(xiàn)象及原因分析情況一、當(dāng)局域網(wǎng)內(nèi)某臺主機感染了ARP病毒時，會向本局域網(wǎng)內(nèi)（指某一網(wǎng)段，比如：這一段）所有主機發(fā)送ARP欺騙攻擊謊稱自己是這個網(wǎng)端的網(wǎng)關(guān)設(shè)備，讓原本流向網(wǎng)關(guān)的流量改道流向病毒主機，造成受害者正常上網(wǎng)。情況二、局域網(wǎng)內(nèi)有某些用戶使用了ARP欺騙程序（如：網(wǎng)絡(luò)執(zhí)法官,QQ盜號軟件等）發(fā)送ARP欺騙數(shù)據(jù)包，致使被攻擊的電腦出現(xiàn)突然不能上網(wǎng)，過一段時間又能上網(wǎng)，反復(fù)掉線的現(xiàn)象。關(guān)于APR欺騙的具體原理請看我收集的資料ARP欺騙的原理二、故障診斷如果用戶發(fā)現(xiàn)以上疑似情況，可以通過如下操作進行診斷：點擊“開始”按鈕->選擇“運行”->輸入“arp–d”->點擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說明此次掉線可能是受ARP欺騙所致。注：arp-d命令用于清除并重建本機arp表。arp–d命令并不能抵御ARP欺騙，執(zhí)行后仍有可能再次遭受ARP攻擊。三、故障處理1、中毒者：建議使用趨勢科技SysClean工具或其他殺毒軟件清除病毒。2、被害者：(1)綁定網(wǎng)關(guān)mac地址。具體方法如下：1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如網(wǎng)關(guān)地址54的MAC地址為0022aa0022aa）。2）編寫一個批處理文件AntiArp.bat內(nèi)容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可，計算機重新啟動后需要重新進行綁定，因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開始--程序--啟動”中。這樣開機時這個批處理就被執(zhí)行了。(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。AntiArp軟件會在提示框內(nèi)出現(xiàn)病毒主機的MAC地址四，找出ARP病毒源第一招：使用Sniffer抓包在網(wǎng)絡(luò)內(nèi)任意一臺主機上運行抓包軟件，捕獲所有到達本機的數(shù)據(jù)包。如果發(fā)現(xiàn)有某個IP不斷發(fā)送ARPRequest請求包，那么這臺電腦一般就是病毒源。原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網(wǎng)關(guān)，二是欺騙網(wǎng)內(nèi)的所有主機。最終的結(jié)果是，在網(wǎng)關(guān)的ARP緩存表中，網(wǎng)內(nèi)所有活動主機的MAC地址均為中毒主機的MAC地址；網(wǎng)內(nèi)所有主機的ARP緩存表中，網(wǎng)關(guān)的MAC地址也成為中毒主機的MAC地址。前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機的數(shù)據(jù)包被發(fā)到中毒主機，后者相反，使得主機發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包均發(fā)送到中毒主機。第二招：使用arp-a命令任意選兩臺不能上網(wǎng)的主機，在DOS命令窗口下運行arp-a命令。例如在結(jié)果中，兩臺電腦除了網(wǎng)關(guān)的IP，MAC地址對應(yīng)項，都包含了86的這個IP，則可以斷定86這臺主機就是病毒源。原理：一般情況下，網(wǎng)內(nèi)的主機只和網(wǎng)關(guān)通信。正常情況下，一臺主機的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址。如果有其他主機的MAC地址，說明本地主機和這臺主機最后有過數(shù)據(jù)通信發(fā)生。如果某臺主機（例如上面的86）既不是網(wǎng)關(guān)也不是服務(wù)器，但和網(wǎng)內(nèi)的其他主機都有通信活動，且此時又是ARP病毒發(fā)作時期，那么，病毒源也就是它了。第三招：使用tracert命令在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert48。假定設(shè)置的缺省網(wǎng)關(guān)為，在跟蹤一個外網(wǎng)地址時，第一跳卻是86，那么，86就是病毒源。原理：中毒主機在受影響主機和網(wǎng)關(guān)之間，扮演了“中間人”的角色。所有本應(yīng)該到達網(wǎng)關(guān)的數(shù)據(jù)包，由于錯誤的MAC地址，均被發(fā)到了中毒主機。此時，中毒主機越俎代庖，起了缺省網(wǎng)關(guān)的作用。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·（ARP欺騙的更容易理解的解析）最近在論壇上經(jīng)?？吹疥P(guān)于ARP病毒的問題，于是在Google上搜索ARP關(guān)鍵字，結(jié)果出來很多關(guān)于這類問題的討論。我的求知欲很強，想再學(xué)習(xí)ARP下相關(guān)知識，所以對目前網(wǎng)絡(luò)中常見的ARP問題進行了一個總結(jié)。1.ARP概念咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理知識，才能更好去面對和分析處理問題。1.1ARP概念知識ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務(wù)。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標(biāo)主機的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進行。1.2ARP工作原理首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。當(dāng)源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網(wǎng)絡(luò)中所有的主機收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。例如：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BB根據(jù)上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是A發(fā)送一個ARP請求廣播（誰是，請告訴），當(dāng)B收到該廣播，就檢查自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個ARP單播應(yīng)答（在BB-BB-BB-BB-BB-BB）。1.3ARP通訊模式通訊模式（PatternAnalysis）：在網(wǎng)絡(luò)分析中，通訊模式的分析是很重要的，不同的協(xié)議和不同的應(yīng)用都會有不同的通訊模式。更有些時候，相同的協(xié)議在不同的企業(yè)應(yīng)用中也會出現(xiàn)不同的通訊模式。ARP在正常情況下的通訊模式應(yīng)該是：請求->應(yīng)答->請求->應(yīng)答，也就是應(yīng)該一問一答。2.常見ARP攻擊類型個人認為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。2.1ARP掃描（ARP請求風(fēng)暴）通訊模式（可能）：請求->請求->請求->請求->請求->請求->應(yīng)答->請求->請求->請求...描述：網(wǎng)絡(luò)中出現(xiàn)大量ARP請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機進行掃描。大量的ARP請求廣播可能會占用網(wǎng)絡(luò)帶寬資源；ARP掃描一般為ARP攻擊的前奏。出現(xiàn)原因（可能）：*病毒程序，偵聽程序，掃描程序。*如果網(wǎng)絡(luò)分析軟件部署正確，可能是我們只鏡像了交換機上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機發(fā)出的。*如果部署不正確，這些ARP請求廣播包是來自和交換機相連的其它主機。2.2ARP欺騙ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。所以在網(wǎng)絡(luò)中，有人發(fā)送一個自己偽造的ARP應(yīng)答，網(wǎng)絡(luò)可能就會出現(xiàn)問題。這可能就是協(xié)議設(shè)計者當(dāng)初沒考慮到的！2.2.1欺騙原理假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：MAC:CC-CC-CC-CC-CC-CC正常情況下A和C之間進行通訊，但是此時B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA），當(dāng)C收到B偽造的ARP應(yīng)答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。注意：一般情況下，ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。2.2.2兩種情況ARP欺騙存在兩種情況：一種是欺騙主機作為“中間人”，被欺騙主機的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數(shù)據(jù)；另一種讓被欺騙主機直接斷網(wǎng)。第一種：竊取數(shù)據(jù)（嗅探）通訊模式：應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請求->應(yīng)答->應(yīng)答->請求->應(yīng)答...描述：這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發(fā)送大量偽造的ARP應(yīng)答包進行欺騙，當(dāng)通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽”了。出現(xiàn)原因（可能）：*木馬病毒*嗅探*人為欺騙第二種：導(dǎo)致斷網(wǎng)通訊模式：應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請求…描述：這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進行欺騙，這樣A實質(zhì)上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。對于偽造地址進行的欺騙，在排查上比較有難度，這里最好是借用TAP設(shè)備（這個東東好像有點貴勒），分別捕獲單向數(shù)據(jù)流進行分析！出現(xiàn)原因（可能）：*木馬病毒*人為破壞*一些網(wǎng)管軟件的控制功能3.常用的防護方法搜索網(wǎng)上，目前對于ARP攻擊防護問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護軟件，也出現(xiàn)了具有ARP防護功能的路由器。呵呵，我們來了解下這三種方法。3.1靜態(tài)綁定最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙，同時在網(wǎng)關(guān)也要進行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險。方法：對每臺主機進行IP和MAC地址靜態(tài)綁定。通過命令，arp-s可以實現(xiàn)“arp–sIPMAC地址”。例如：“arp–sAA-AA-AA-AA-AA-AA”。如果設(shè)置成功會在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示：InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAstatic(靜態(tài))一般不綁定,在動態(tài)的情況下：InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAdynamic(動態(tài))說明：對于網(wǎng)絡(luò)中有很多主機，500臺，1000臺...，如果我們這樣每一臺都去做靜態(tài)綁定，工作量是非常大的。。。。，這種靜態(tài)綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個批處理文件，但是還是比較麻煩的！3.2使用ARP防護軟件目前關(guān)于ARP類的防護軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護的工作原理是一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。3.2.1欣向ARP工具我使用了該工具，它有5個功能：?A.IP/MAC清單選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設(shè)置。如果是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。IP/MAC掃描。這里會掃描目前網(wǎng)絡(luò)中所有的機器的IP與MAC地址。請在內(nèi)網(wǎng)運行正常時掃描，因為這個表格將作為對之后ARP的參照。之后的功能都需要這個表格的支持，如果出現(xiàn)提示無法獲取IP或MAC時，就說明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。?B.ARP欺騙檢測這個功能會一直檢測內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測表格里面