頁1概述1.1培訓(xùn)目標(biāo)1、掌握業(yè)務(wù)方案在NC產(chǎn)品中的實現(xiàn)及業(yè)務(wù)流程操作2、為后續(xù)流程模擬及崗位權(quán)限梳理做好充足準(zhǔn)備3、使關(guān)鍵用戶能夠在公司擔(dān)負(fù)起知識轉(zhuǎn)移的任務(wù)2培訓(xùn)流程清單流程編號流程2.1新增客戶及維護(hù)流程2.2普通銷售管理流程2.3技術(shù)服務(wù)銷售管理流程2.4項目工程銷售管理流程2.5銷售退貨管理流程銷售管理流程3.1新增客戶及維護(hù)流程3.1.1業(yè)務(wù)說明目的：本流程用于客戶信息建立、維護(hù)及管理流程的處理。整個流程從收集整理客戶資料開始，最終到系統(tǒng)中維護(hù)客商管理檔案及日常管理環(huán)節(jié)，明確系統(tǒng)中的流程方案及操作步驟。（如要實現(xiàn)二級單位填寫客商申請表后，系統(tǒng)自動查重并授權(quán)，不需要運營管理部再做審核的功能，需要進(jìn)行二次開發(fā)，在開發(fā)方案確認(rèn)及上線前先采用本流程。）3.1.2業(yè)務(wù)流程圖

ERP系統(tǒng)操作說明分公司銷售員收集客戶資料維護(hù)客商申請單分公司業(yè)務(wù)員在系統(tǒng)外收集客戶資料（內(nèi)容包括：營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證書、稅務(wù)登記證；最近三年的審計報告、客戶經(jīng)營地址、電話、郵箱、公司網(wǎng)址、業(yè)務(wù)聯(lián)系人、經(jīng)營管理者、法人代表、所在區(qū)域、相關(guān)資質(zhì)。）根據(jù)客戶資料在系統(tǒng)中對客商申請單進(jìn)行維護(hù)并提交總部審批?？偣具\營管理部審批客商申請單，維護(hù)客商基本檔案，分配客商基本檔案運營管理部根據(jù)實際情況對二級單位提交的客商申請單中定義的編碼、名稱及相關(guān)信息進(jìn)行審批，同時根據(jù)客商申請單的審批情況維護(hù)和審核客商基本檔案，并對已生效的客商基本檔案自動分配。3.分公司銷售部維護(hù)客商管理檔案分公司銷售部根據(jù)總部已分配的客商基本檔案維護(hù)/修改客商管理檔案（對應(yīng)內(nèi)容：客戶屬性、開票客戶、發(fā)貨地址及聯(lián)系人電話、信用總額、銀行帳號、運輸方式、發(fā)貨客戶、專管部門及業(yè)務(wù)員等信息。），二級單位銷售主管審核。維護(hù)客商管理檔案的收發(fā)貨地址和銀行賬戶。3.1.4單據(jù)維護(hù)單據(jù)類型單據(jù)表頭信息單據(jù)表體信息功能點客商申請單申請公司、單據(jù)號、申請人、申請時間、客商編碼、客商名稱、客商簡稱、客商類型、地區(qū)分類保存、提交、打印、狀態(tài)查詢客商基本檔案客商名稱、客商編碼、客商簡稱、外文名字、所屬行業(yè)、所屬地區(qū)、注冊資金、營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證書、稅務(wù)登記證；最近三年的審計報告、客戶經(jīng)營地址、電話、郵箱、公司網(wǎng)址、業(yè)務(wù)聯(lián)系人、經(jīng)營管理者、法人代表、所在區(qū)域、相關(guān)資質(zhì)。（選填）打印、修改、狀態(tài)查詢客商管理檔案客戶屬性、開票客戶、及聯(lián)系人電話、信用總額、運輸方式、發(fā)貨客戶、專管部門及業(yè)務(wù)員等信息。發(fā)貨地址、銀行帳號信息保存、修改、狀態(tài)查詢3.2普通銷售流程（含發(fā)貨單）3.2.1業(yè)務(wù)說明目的：普通銷售業(yè)務(wù)：安泰科技各二級單位與客戶進(jìn)行的生產(chǎn)型、貿(mào)易型、來料加工型及現(xiàn)貨銷售業(yè)務(wù)。（關(guān)聯(lián)單位之間進(jìn)行的銷售業(yè)務(wù)）整個流程環(huán)節(jié)從簽訂銷售框架性協(xié)議（或訂單，此處可根據(jù)二級單位實際業(yè)務(wù)情況選擇流程開始點）開始，到最終財務(wù)核算環(huán)節(jié)，明確系統(tǒng)中的流程方案及操作步驟。3.2.2業(yè)務(wù)處理流程圖3.2.3ERP系統(tǒng)操作說明1.二級單位銷售部業(yè)務(wù)員維護(hù)銷售訂單銷售部業(yè)務(wù)員依據(jù)與客戶談判形成的銷售合同草案在系統(tǒng)中維護(hù)銷售訂單及銷售合同瀏覽單（注：如果銷售類別=“來料加工銷售”，則，庫存組織選擇“來料加工庫存組織”，存儲地點=“來料加工成品倉”）2.二級單位銷售部主管審核銷售訂單及銷售合同瀏覽單在銷售訂單審核環(huán)節(jié)，通過系統(tǒng)中審批流業(yè)務(wù)處理實現(xiàn)對銷售訂單上不同金額上限上報不同部門人員審批的管控需求。3.二級單位銷售部主管領(lǐng)導(dǎo)對銷售合同簽章生效對通過審批的銷售訂單（附加銷售合同瀏覽單）進(jìn)行蓋章確認(rèn)生效，并打印正式合同文本。4生產(chǎn)型銷售則由銷售錄單員通過對已審批通過的銷售訂單進(jìn)行生產(chǎn)任務(wù)聯(lián)系單打?。ㄉa(chǎn)任務(wù)關(guān)聯(lián)單模板）。并發(fā)送至生產(chǎn)廠調(diào)度人員處。5.銷售類型是“貿(mào)易型銷售業(yè)務(wù)”的，采購部業(yè)務(wù)員根據(jù)銷售數(shù)量維護(hù)普通采購訂單，參照《采購業(yè)務(wù)方案》普通采購流程。6.銷售類型是“生產(chǎn)型銷售業(yè)務(wù)”的，根據(jù)銷售部傳遞生產(chǎn)任務(wù)聯(lián)系單，安排具體生產(chǎn)計劃，組織生產(chǎn)。7.銷售類型是“來料加工型銷售業(yè)務(wù)”的，倉儲部庫管員維護(hù)來料加工入庫單及出庫單，根據(jù)來料加工客戶送來/來料加工退庫的實際物料做來料加工入庫，系統(tǒng)只管理數(shù)量，不參與成本核算。8.倉儲部庫管員根據(jù)庫存情況維護(hù)材料領(lǐng)用出庫單。9.倉儲部庫管員辦理實際材料出、入庫。10.倉儲部庫管員維護(hù)完工入庫單。11.銷售部業(yè)務(wù)員根據(jù)銷售訂單及與客戶溝通的具體交期，維護(hù)發(fā)貨單。操作如下圖所示：具體查詢?nèi)缦聢D1和2所示：圖1圖2：銷售部業(yè)務(wù)員對基于銷售訂單基礎(chǔ)上生成的發(fā)貨單進(jìn)行維護(hù)，點擊下圖所示的維護(hù)，修改，重點標(biāo)注實際發(fā)貨日期和本次發(fā)貨數(shù)量。12、銷售員維護(hù)完成發(fā)貨單后，點擊保存，送審至銷售部主管。銷售部主管根據(jù)內(nèi)部信用查詢及管控需求，對發(fā)貨單進(jìn)行審批。13、發(fā)貨單審批通過后，由系統(tǒng)自動轉(zhuǎn)入至倉儲部庫管員，庫管員辦理實際出庫業(yè)務(wù)。14、倉儲部庫管員，參照《發(fā)貨通知單》維護(hù)銷售出庫單，錄入批次號，實發(fā)數(shù)量等信息。（支持參照同一發(fā)貨通知單分批出貨）。15、倉庫主管審核銷售出庫單上的信息，簽字確認(rèn)，自動記入臺賬。16、財務(wù)部成本會計對發(fā)出商品品做銷售成本結(jié)轉(zhuǎn)單。銷售出庫單簽字確認(rèn)時，發(fā)給客戶的商品自動進(jìn)行財務(wù)發(fā)出商品處理。17.銷售部業(yè)務(wù)人員根據(jù)實際業(yè)務(wù)發(fā)生情況，依據(jù)實際銷售出庫單上的數(shù)量，申請開具銷售發(fā)票，支持分批開票，支持多幣種。18、財務(wù)部會計主管審核銷售發(fā)票，并對系統(tǒng)單據(jù)進(jìn)行審核操作，系統(tǒng)中的銷售發(fā)票審核之后自動進(jìn)行收入成本結(jié)算。19財務(wù)部負(fù)責(zé)認(rèn)款（參照財務(wù)操作手冊）20銷售部銷售員負(fù)責(zé)收款單核銷。3.2.4單據(jù)維護(hù)單據(jù)類型單據(jù)表頭信息單據(jù)表體信息功能點銷售訂單客戶、部門、業(yè)務(wù)員、銷售組織、庫存組織、開票單位、幣種存貨編碼、數(shù)量、價格、交期、銷售類型、批號聯(lián)查、打印、存量查詢、訂單收款、訂單核銷、訂單執(zhí)行情況銷售合同瀏覽單整單合同相關(guān)條款銷售訂單行字段瀏覽、維護(hù)、變更、打印發(fā)貨單客戶、開票客戶、部門、業(yè)務(wù)員、銷售組織、庫存組織存貨、計劃交貨時間、數(shù)量、批號聯(lián)查、打印、存量查詢、訂單收款、訂單核銷、訂單執(zhí)行情況銷售出庫單庫存組織、業(yè)務(wù)類型、收發(fā)類別、倉庫、部門、客戶存貨編碼、批號、實發(fā)數(shù)量聯(lián)查、打印、存量查詢、自動取數(shù)、自動揀貨銷售發(fā)票發(fā)票類型、客戶、部門、銷售組織、庫存組織、收發(fā)類別存貨編碼、數(shù)量、價格聯(lián)查、打印、存量查詢、發(fā)票執(zhí)行情況、客戶信用3.3技術(shù)服務(wù)銷售流程（不含發(fā)貨單、出庫單）3.3.1業(yè)務(wù)說明目的：技術(shù)服務(wù)銷售業(yè)務(wù)：安泰科技各二級單位與客戶提供技術(shù)服務(wù)的銷售業(yè)務(wù)，銷售需結(jié)算金額為技術(shù)服務(wù)費。整個流程環(huán)節(jié)從簽訂銷售框架性協(xié)議（或訂單，此處可根據(jù)二級單位實際業(yè)務(wù)情況選擇流程開始點）開始，到最終財務(wù)核算環(huán)節(jié)，明確系統(tǒng)中的流程方案及操作步驟。3.3.2業(yè)務(wù)處理流程圖3.3.3ERP系統(tǒng)操作說明1.銷售部業(yè)務(wù)員維護(hù)銷售訂單：依據(jù)與客戶談判形成的銷售合同草案在系統(tǒng)中維護(hù)銷售訂單及銷售合同瀏覽單。銷售員對銷售訂單維護(hù)完成后，送審至銷售主管。2.銷售部主管審批銷售訂單，通過系統(tǒng)中審批流業(yè)務(wù)處理實現(xiàn)對銷售訂單上不同金額上限上報不同部門人員審批的管控需求。（審批流程：eq\o\ac(○,1)二級單位市場部領(lǐng)導(dǎo)；eq\o\ac(○,2)通過，根據(jù)銷售類型進(jìn)入并列審批環(huán)節(jié)（具體二級單位根據(jù)需求定義審批流）；eq\o\ac(○,3)通過，（比如永豐納米晶制品、涿州非晶制品：金額〉100萬，由總經(jīng)理審批；安泰南瑞：金額500萬以上，總經(jīng)理審批）；eq\o\ac(○,4)通過，進(jìn)行金額判定，合同金額<300萬即流程結(jié)束，進(jìn)行蓋章，合同金額>300萬，提交總部審批，通過后蓋章。注：根據(jù)并列審批的角色不同設(shè)置不同的訂單顯示模板。）3.銷售部部門經(jīng)理對對通過審批的銷售訂單（附加銷售合同瀏覽單）進(jìn)行蓋章確認(rèn)生效，并打印正式合同文本。銷售合同正式生效。目前系統(tǒng)測試階段還未上審批流，銷售部主管審核完成后，進(jìn)入銷售開票階段，技術(shù)服務(wù)銷售流程無發(fā)貨和出庫。4.技術(shù)服務(wù)工程師，根據(jù)銷售訂單向客戶提供技術(shù)服務(wù)。5.銷售部業(yè)務(wù)人員根據(jù)實際業(yè)務(wù)發(fā)生情況，依據(jù)銷售訂單的金額進(jìn)行開具銷售發(fā)票申請。6.財務(wù)部/會計主管對業(yè)務(wù)人員提交的銷售發(fā)票申請進(jìn)行審核，并對系統(tǒng)單據(jù)進(jìn)行審核操作傳應(yīng)收。3.3.4單據(jù)維護(hù)單據(jù)類型單據(jù)表頭信息單據(jù)表體信息功能點銷售訂單客戶、部門、銷售組織、庫存組織、開票單位、幣種存貨編碼、數(shù)量、價格、交期聯(lián)查、打印、存量查詢、訂單收款、訂單核銷、客戶信用、訂單執(zhí)行情況銷售合同瀏覽單整單合同相關(guān)條款銷售訂單行字段瀏覽、維護(hù)、變更、打印銷售發(fā)票發(fā)票類型、客戶、部門、銷售組織、庫存組織、收發(fā)類別存貨編碼、數(shù)量、倉庫、價格聯(lián)查、打印、存量查詢、發(fā)票執(zhí)行情況、客戶信用3.4項目工程銷售流程（不含發(fā)貨單）3.4.1業(yè)務(wù)說明項目工程銷售流程：安泰科技各二級單位與客戶進(jìn)行設(shè)備工程等項目工程類的銷售業(yè)務(wù)。整個流程環(huán)節(jié)從簽訂銷售合同（訂單）開始，到最終財務(wù)核算環(huán)節(jié)，明確系統(tǒng)中的流程方案及操作步驟。3.4.2業(yè)務(wù)處理流程圖3.4.3ERP操作系統(tǒng)說明1.銷售部業(yè)務(wù)員依據(jù)與客戶談判形成的銷售合同草案在系統(tǒng)中維護(hù)銷售訂單及銷售合同瀏覽單。2.銷售部主管審核銷售訂單。在銷售訂單審核環(huán)節(jié)，通過系統(tǒng)中審批流業(yè)務(wù)處理實現(xiàn)對銷售訂單上不同金額上限上報不同部門人員審批的管控需求。（審批流程：eq\o\ac(○,1)二級單位市場部領(lǐng)導(dǎo)；eq\o\ac(○,2)通過，進(jìn)行銷售流程判定，[普通銷售業(yè)務(wù)]進(jìn)入生產(chǎn)部、財務(wù)部、技術(shù)部并列審批；eq\o\ac(○,3)通過，金額〉（100萬，由總經(jīng)理審批（永豐納米晶制品、涿州非晶制品）；（金額500萬以上，總經(jīng)理審批，安泰南瑞）進(jìn)入總經(jīng)理審批；eq\o\ac(○,4)通過，進(jìn)行金額判定，合同金額<300萬即流程結(jié)束，進(jìn)行蓋章，合同金額>300萬，提交總部審批，通過后蓋章。）3.銷售部部門經(jīng)理對通過審批的銷售訂單（附加銷售合同瀏覽單）進(jìn)行蓋章確認(rèn)生效，并打印正式合同文本。4.銷售部業(yè)務(wù)員根據(jù)項目現(xiàn)場到貨情況及實際采購發(fā)票金額，維護(hù)完工入庫單，并維護(hù)入庫成本。（注：由于工程項目采購物資直接發(fā)到現(xiàn)場，二級單位無庫存，因此，這里是虛擬入庫，在銷售出庫單維護(hù)之前完成。）5.庫房人員根據(jù)項目實際進(jìn)度情況，維護(hù)并簽字銷售出庫單。（注：1、銷售出庫單來源是銷售訂單；2、在簽字銷售出庫單前一定先維護(hù)完工入庫單，這里是項目實際完工進(jìn)度。）6.財務(wù)部成本會計做《銷售成本結(jié)轉(zhuǎn)單（發(fā)出商品）》，銷售出庫單簽字確認(rèn)時，系統(tǒng)自動計入發(fā)出商品。7.財務(wù)部會計主管對業(yè)務(wù)人員提交的銷售發(fā)票申請進(jìn)行審核，并對系統(tǒng)單據(jù)進(jìn)行審核操作，系統(tǒng)中的銷售發(fā)票審核之后自動進(jìn)行收入成本結(jié)算。3.4.5單據(jù)維護(hù)單據(jù)類型單據(jù)表頭信息單據(jù)表體信息功能點銷售訂單客戶、部門、銷售組織、庫存組織、開票單位、幣種存貨編碼、數(shù)量、價格、交期、銷售類型聯(lián)查、打印、存量查詢、訂單收款、訂單核銷、客戶信用、訂單執(zhí)行情況銷售合同瀏覽單整單合同相關(guān)條款銷售訂單行字段瀏覽、維護(hù)、變更、打印銷售出庫單庫存組織、業(yè)務(wù)類型、收發(fā)類別、倉庫、部門、客戶存貨編碼、實發(fā)數(shù)量聯(lián)查、打印、存量查詢、自動取數(shù)、自動揀貨銷售發(fā)票發(fā)票類型、客戶、部門、銷售組織、庫存組織、收發(fā)類別存貨編碼、數(shù)量、倉庫、價格聯(lián)查、打印、存量查詢、發(fā)票執(zhí)行情況、客戶信用3.5銷售退貨流程3.5.1業(yè)務(wù)說明目的：此流程定義安泰科技各二級單位的銷售主體與客戶之間的銷售退庫過程，區(qū)分能明原始出庫信息和無法明確原始出庫信息兩種退貨業(yè)務(wù)場景，從接收、確認(rèn)客戶退貨申請開始，到最終財務(wù)核算環(huán)節(jié)，明確系統(tǒng)中的流程方案及操作步驟。

3.5.2業(yè)務(wù)處理流程圖3.5.3ERP操作系統(tǒng)說明1.無來源退貨：eq\o\ac(○,1)銷售主管確認(rèn)銷售退貨，由銷售客戶提交銷售部門顧客投訴書，經(jīng)相關(guān)部門評定根據(jù)評定結(jié)果按照客戶退貨處理單進(jìn)行銷售退貨流程。eq\o\ac(○,2)銷售部業(yè)務(wù)員選擇業(yè)務(wù)流程及類型，增加自制紅字銷售訂單，無需錄入銷售合同；制單人送審銷售訂單；eq\o\ac(○,3)倉儲部參照發(fā)貨單維護(hù)紅字銷售出庫單；eq\o\ac(○,4)場部根據(jù)銷售出庫單維護(hù)紅字銷售發(fā)票；eq\o\ac(○,5)財務(wù)部審核銷售發(fā)票，并自動生成紅字應(yīng)收單。2、有來源退貨：eq\o\ac(○,1)銷售部業(yè)務(wù)員參考《客戶退貨處理單》的確認(rèn)結(jié)果，在系統(tǒng)中查詢出需要退貨的原銷售出庫單。銷售部業(yè)務(wù)員根據(jù)原銷售出庫單，做退回操作，生成紅字銷售出庫單。eq\o\ac(○,2)庫房主管對銷售出庫（退庫）單的信息進(jìn)行審核，簽字后記入庫存臺賬。eq\o\ac(○,3)物流部（倉儲部）辦理實際退庫eq\o\ac(○,4)場部根據(jù)銷售出庫單維護(hù)紅字銷售發(fā)票；eq\o\ac(○,5)財務(wù)部審核銷售發(fā)票，并自動生成紅字應(yīng)收單3.5.4單據(jù)維護(hù)單據(jù)類型單據(jù)表頭信息單據(jù)表體信息功能點銷售退貨訂單客戶、部門、銷售組織、庫存組織、開票單位、業(yè)務(wù)類型、退回標(biāo)識存貨編碼、數(shù)量、價格聯(lián)查、打印、客戶信用、訂單執(zhí)行情況銷售出庫單庫存組織、業(yè)務(wù)類型、收發(fā)類別、倉庫、部門、客戶，是否退庫存貨編碼、實發(fā)數(shù)量聯(lián)查、打印、存量查詢、自動取數(shù)、自動揀貨銷售發(fā)票發(fā)票類型、客戶、部門、銷售組織、庫存組織、收發(fā)類別存貨編碼、數(shù)量、倉庫、價格聯(lián)查、打印、存量查詢、發(fā)票執(zhí)行情況、客戶信用庫存差異盤點單收發(fā)類別=虛擬退庫3.6相關(guān)銷售單據(jù)和報表查詢3.6.1相關(guān)銷售報表和用途說明報表名稱用途說明銷售訂單匯總表銷售訂單匯總表是考核銷售訂貨的統(tǒng)計報表，系統(tǒng)支持按照訂單/客戶/部門/業(yè)務(wù)員/存貨/庫存組織/業(yè)務(wù)類型輸出銷售訂貨的匯總情況銷售訂單執(zhí)行明細(xì)表銷售執(zhí)行查詢用來統(tǒng)計銷售訂單、銷售出庫單、銷售發(fā)票以及應(yīng)收單的執(zhí)行情況，包括匯總執(zhí)行情況查詢和明細(xì)執(zhí)行情況查詢。銷售訂單追蹤表以訂單號為主線，找出與這張訂單號相關(guān)的請購單號，采購單號，采購入庫單號，采購發(fā)票號，銷售報價單號，出庫單號，發(fā)票號，回款單號，代墊費用單號。應(yīng)收匯總表按照應(yīng)收單日期、客戶、存貨、銷售組織、銷售部門、銷售業(yè)務(wù)員、交易幣種等多種條件，匯總查詢應(yīng)收單的執(zhí)行情況，包括應(yīng)收單數(shù)量、原幣含稅凈價、應(yīng)收金額、已收款金額、應(yīng)收余額的統(tǒng)計。注意：1.匯總條件：客戶、訂單客戶、存貨、銷售組織、銷售部門、銷售業(yè)務(wù)員、交易幣種；

2.支持穿透查詢應(yīng)收執(zhí)行明細(xì)。應(yīng)收明細(xì)表按照訂單類型、訂單號、訂單日期、出庫單號、出庫日期、發(fā)票號、發(fā)票日期、應(yīng)收單號、應(yīng)收日期、客戶、存貨、銷售組織、銷售部門、銷售業(yè)務(wù)員、交易幣種等多種條件，查詢銷售應(yīng)收單的明細(xì)執(zhí)行情況，包括應(yīng)收單已收款金額、應(yīng)收余額的統(tǒng)計。注意：1.訂單類型為銷售訂單、退貨申請單；

2.支持聯(lián)查應(yīng)收單。3.6.2相關(guān)銷售報表在ERP系統(tǒng)中的操作：1.以銷售訂單匯總表為例eq\o\ac(○,1)找到進(jìn)入路徑，點擊查詢，自定義查詢條件（12月1日-12月15日的銷售訂單）進(jìn)入銷售訂單匯總表界面。eq\o\ac(○,2)根據(jù)關(guān)注的管控點，設(shè)置字段，可用系統(tǒng)中的“小計”來實現(xiàn)。3導(dǎo)出系統(tǒng)中根據(jù)管控點設(shè)置的銷售訂單匯總表，將文件導(dǎo)入至指定的文件夾。附錄資料：不需要的可以自行刪除超全ARP知識什么是ARPARP（AddressResolutionProtocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層（也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)鏈路層（也就是相當(dāng)于OSI的第二層）的物理地址(注:此處物理地址并不一定指MAC地址)。ARP原理：某機(jī)器A要向主機(jī)B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機(jī)A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請求，但只有主機(jī)B識別自己的IP地址，于是向A主機(jī)發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。因此，當(dāng)局域網(wǎng)中的某臺機(jī)器B向A發(fā)送一個自己偽造的ARP應(yīng)答，而如果這個應(yīng)答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當(dāng)A接收到B偽造的ARP應(yīng)答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡(luò)不通，導(dǎo)致A不能Ping通C！這就是一個簡單的ARP欺騙。（讀者注：某機(jī)器A利用其它某機(jī)器B的IP地址和一個事實上并不存在的MAC地下向另一臺機(jī)器C發(fā)出ARP請求，導(dǎo)致C中的ARP緩存表的錯誤映射，稱為ARP欺騙）ARP協(xié)議的工作原理在每臺裝有tcp/ip協(xié)議的電腦里都有一個ARP緩存表，表里的ip地址與mac地址是一一對應(yīng)的，如圖。arp緩存表以主機(jī)A（）向主機(jī)B（）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時，主機(jī)A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)的MAC地址，直接把目標(biāo)的MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表里面沒有目標(biāo)的IP地址，主機(jī)A就會在網(wǎng)絡(luò)上發(fā)送一個廣播,目標(biāo)MAC地址是“ff-ff-ff-ff-ff-ff”，這表示向同一網(wǎng)段的所有主機(jī)發(fā)出這樣的詢問：“的mac地址是什么呀？”網(wǎng)絡(luò)上的其他主機(jī)并不回應(yīng)這一詢問，只有主機(jī)B接受到這個幀時才向A作出回應(yīng)：“的MAC地址是00-aa-0-62-c6-09。（如上表）”這樣，主機(jī)A就知道了主機(jī)B的MAC地址，就可以向主機(jī)B發(fā)送信息了。同時，它還更新了自己的ARP緩存表，下次再向B發(fā)送數(shù)據(jù)時，直接在ARP緩存表找就可以了。ARP緩存表采用老化的機(jī)制，在一段時間里表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢的速度。如何查看ARP緩存表ARP緩存表示可以查看的，也可以添加和修改。在命令提示符下，輸入“arp-a”就可以查看arp緩存表的內(nèi)容了。用“arp-d”可以刪除arp緩存表里的所有內(nèi)容。用“arp-s“可以手動在arp表中制定ip地址與MAC地址的對應(yīng)關(guān)系。ARP欺騙的種類ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解，出現(xiàn)故障時，認(rèn)為PC沒有問題，交換機(jī)沒掉線的“本事”，電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。arp欺騙－網(wǎng)絡(luò)執(zhí)法官的原理在網(wǎng)絡(luò)執(zhí)法官中，要想限制某臺機(jī)器上網(wǎng)，只要點擊"網(wǎng)卡"菜單中的"權(quán)限"，選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行，從右鍵菜單中選擇"權(quán)限"，在彈出的對話框中即可限制該用戶的權(quán)限。對于未登記網(wǎng)卡，可以這樣限定其上線：只要設(shè)定好所有已知用戶（登記）后，將網(wǎng)卡的默認(rèn)權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個功能就可限制用戶上網(wǎng)。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關(guān)IP地址對應(yīng)的MAC，使其找不到網(wǎng)關(guān)真正的MAC地址，這樣就可以禁止其上網(wǎng)。修改MAC地址突破網(wǎng)絡(luò)執(zhí)法官的封鎖根據(jù)上面的分析，我們不難得出結(jié)論：只要修改MAC地址，就可以騙過網(wǎng)絡(luò)執(zhí)法官的掃描，從而達(dá)到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法：在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Class/子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網(wǎng)卡，就有0001，0002在這里保存了有關(guān)你的網(wǎng)卡的信息，其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述，比如我的網(wǎng)卡是Intel21041basedEthernetController），在這里假設(shè)你的網(wǎng)卡在0000子鍵。在0000子鍵下添加一個字符串，命名為"NetworkAddress"，鍵值為修改后的MAC地址，要求為連續(xù)的12個16進(jìn)制數(shù)。然后在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵，在該子鍵下添加名為"default"的字符串，鍵值為修改后的MAC地址。在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串，其作用為指定NetworkAddress的描述，其值可為"MACAddress"。這樣以后打開網(wǎng)絡(luò)鄰居的"屬性"，雙擊相應(yīng)的網(wǎng)卡就會發(fā)現(xiàn)有一個"高級"設(shè)置，其下存在MACAddress的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以后只要在此修改MAC地址就可以了。關(guān)閉注冊表，重新啟動，你的網(wǎng)卡地址已改。打開網(wǎng)絡(luò)鄰居的屬性，雙擊相應(yīng)網(wǎng)卡項會發(fā)現(xiàn)有一個MACAddress的高級設(shè)置項，用于直接修改MAC地址。MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)部。這個地址與網(wǎng)絡(luò)無關(guān)，即無論將帶有這個地址的硬件（如網(wǎng)卡、集線器、路由器等）接入到網(wǎng)絡(luò)的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設(shè)定。MAC地址通常表示為12個16進(jìn)制數(shù)，每2個16進(jìn)制數(shù)之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進(jìn)制數(shù)，08:00:20代表網(wǎng)絡(luò)硬件制造商的編號，它由IEEE分配，而后3位16進(jìn)制數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號。每個網(wǎng)絡(luò)制造商必須確保它所制造的每個以太網(wǎng)設(shè)備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。這樣就可保證世界上每個以太網(wǎng)設(shè)備都具有唯一的MAC地址。另外，網(wǎng)絡(luò)執(zhí)法官的原理是通過ARP欺騙發(fā)給某臺電腦有關(guān)假的網(wǎng)關(guān)IP地址所對應(yīng)的MAC地址，使其找不到網(wǎng)關(guān)真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網(wǎng)絡(luò)執(zhí)法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網(wǎng)關(guān)，然后再用ARP-a命令得到網(wǎng)關(guān)的MAC地址，最后用ARP-sIP網(wǎng)卡MAC地址命令把網(wǎng)關(guān)的IP地址和它的MAC地址映射起來就可以了。找到使你無法上網(wǎng)的對方解除了網(wǎng)絡(luò)執(zhí)法官的封鎖后，我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網(wǎng)IP段，然后查找處在"混雜"模式下的計算機(jī)，就可以發(fā)現(xiàn)對方了。具體方法是：運行Arpkiller（圖2），然后點擊"Sniffer監(jiān)測工具"，在出現(xiàn)的"Sniffer殺手"窗口中輸入檢測的起始和終止IP（圖3），單擊"開始檢測"就可以了。檢測完成后，如果相應(yīng)的IP是綠帽子圖標(biāo)，說明這個IP處于正常模式，如果是紅帽子則說明該網(wǎng)卡處于混雜模式。它就是我們的目標(biāo)，就是這個家伙在用網(wǎng)絡(luò)執(zhí)法官在搗亂。局域網(wǎng)ARP欺騙的應(yīng)對一、故障現(xiàn)象及原因分析情況一、當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)感染了ARP病毒時，會向本局域網(wǎng)內(nèi)（指某一網(wǎng)段，比如：這一段）所有主機(jī)發(fā)送ARP欺騙攻擊謊稱自己是這個網(wǎng)端的網(wǎng)關(guān)設(shè)備，讓原本流向網(wǎng)關(guān)的流量改道流向病毒主機(jī)，造成受害者正常上網(wǎng)。情況二、局域網(wǎng)內(nèi)有某些用戶使用了ARP欺騙程序（如：網(wǎng)絡(luò)執(zhí)法官,QQ盜號軟件等）發(fā)送ARP欺騙數(shù)據(jù)包，致使被攻擊的電腦出現(xiàn)突然不能上網(wǎng)，過一段時間又能上網(wǎng)，反復(fù)掉線的現(xiàn)象。關(guān)于APR欺騙的具體原理請看我收集的資料ARP欺騙的原理二、故障診斷如果用戶發(fā)現(xiàn)以上疑似情況，可以通過如下操作進(jìn)行診斷：點擊“開始”按鈕->選擇“運行”->輸入“arp–d”->點擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說明此次掉線可能是受ARP欺騙所致。注：arp-d命令用于清除并重建本機(jī)arp表。arp–d命令并不能抵御ARP欺騙，執(zhí)行后仍有可能再次遭受ARP攻擊。三、故障處理1、中毒者：建議使用趨勢科技SysClean工具或其他殺毒軟件清除病毒。2、被害者：(1)綁定網(wǎng)關(guān)mac地址。具體方法如下：1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如網(wǎng)關(guān)地址54的MAC地址為0022aa0022aa）。2）編寫一個批處理文件AntiArp.bat內(nèi)容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可，計算機(jī)重新啟動后需要重新進(jìn)行綁定，因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開始--程序--啟動”中。這樣開機(jī)時這個批處理就被執(zhí)行了。(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。AntiArp軟件會在提示框內(nèi)出現(xiàn)病毒主機(jī)的MAC地址四，找出ARP病毒源第一招：使用Sniffer抓包在網(wǎng)絡(luò)內(nèi)任意一臺主機(jī)上運行抓包軟件，捕獲所有到達(dá)本機(jī)的數(shù)據(jù)包。如果發(fā)現(xiàn)有某個IP不斷發(fā)送ARPRequest請求包，那么這臺電腦一般就是病毒源。原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網(wǎng)關(guān)，二是欺騙網(wǎng)內(nèi)的所有主機(jī)。最終的結(jié)果是，在網(wǎng)關(guān)的ARP緩存表中，網(wǎng)內(nèi)所有活動主機(jī)的MAC地址均為中毒主機(jī)的MAC地址；網(wǎng)內(nèi)所有主機(jī)的ARP緩存表中，網(wǎng)關(guān)的MAC地址也成為中毒主機(jī)的MAC地址。前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機(jī)的數(shù)據(jù)包被發(fā)到中毒主機(jī)，后者相反，使得主機(jī)發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包均發(fā)送到中毒主機(jī)。第二招：使用arp-a命令任意選兩臺不能上網(wǎng)的主機(jī)，在DOS命令窗口下運行arp-a命令。例如在結(jié)果中，兩臺電腦除了網(wǎng)關(guān)的IP，MAC地址對應(yīng)項，都包含了86的這個IP，則可以斷定86這臺主機(jī)就是病毒源。原理：一般情況下，網(wǎng)內(nèi)的主機(jī)只和網(wǎng)關(guān)通信。正常情況下，一臺主機(jī)的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址。如果有其他主機(jī)的MAC地址，說明本地主機(jī)和這臺主機(jī)最后有過數(shù)據(jù)通信發(fā)生。如果某臺主機(jī)（例如上面的86）既不是網(wǎng)關(guān)也不是服務(wù)器，但和網(wǎng)內(nèi)的其他主機(jī)都有通信活動，且此時又是ARP病毒發(fā)作時期，那么，病毒源也就是它了。第三招：使用tracert命令在任意一臺受影響的主機(jī)上，在DOS命令窗口下運行如下命令：tracert48。假定設(shè)置的缺省網(wǎng)關(guān)為，在跟蹤一個外網(wǎng)地址時，第一跳卻是86，那么，86就是病毒源。原理：中毒主機(jī)在受影響主機(jī)和網(wǎng)關(guān)之間，扮演了“中間人”的角色。所有本應(yīng)該到達(dá)網(wǎng)關(guān)的數(shù)據(jù)包，由于錯誤的MAC地址，均被發(fā)到了中毒主機(jī)。此時，中毒主機(jī)越俎代庖，起了缺省網(wǎng)關(guān)的作用。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·（ARP欺騙的更容易理解的解析）最近在論壇上經(jīng)?？吹疥P(guān)于ARP病毒的問題，于是在Google上搜索ARP關(guān)鍵字，結(jié)果出來很多關(guān)于這類問題的討論。我的求知欲很強(qiáng)，想再學(xué)習(xí)ARP下相關(guān)知識，所以對目前網(wǎng)絡(luò)中常見的ARP問題進(jìn)行了一個總結(jié)。1.ARP概念咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理知識，才能更好去面對和分析處理問題。1.1ARP概念知識ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務(wù)。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進(jìn)行。1.2ARP工作原理首先，每臺主機(jī)都會在自己的ARP緩沖區(qū)中建立一個ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個數(shù)據(jù)包要發(fā)送到目的主機(jī)時，會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機(jī)對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機(jī)收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。例如：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BB根據(jù)上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是A發(fā)送一個ARP請求廣播（誰是，請告訴），當(dāng)B收到該廣播，就檢查自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個ARP單播應(yīng)答（在BB-BB-BB-BB-BB-BB）。1.3ARP通訊模式通訊模式（PatternAnalysis）：在網(wǎng)絡(luò)分析中，通訊模式的分析是很重要的，不同的協(xié)議和不同的應(yīng)用都會有不同的通訊模式。更有些時候，相同的協(xié)議在不同的企業(yè)應(yīng)用中也會出現(xiàn)不同的通訊模式。ARP在正常情況下的通訊模式應(yīng)該是：請求->應(yīng)答->請求->應(yīng)答，也就是應(yīng)該一問一答。2.常見ARP攻擊類型個人認(rèn)為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。2.1ARP掃描（ARP請求風(fēng)暴）通訊模式（可能）：請求->請求->請求->請求->請求->請求->應(yīng)答->請求->請求->請求...描述：網(wǎng)絡(luò)中出現(xiàn)大量ARP請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描。大量的ARP請求廣播可能會占用網(wǎng)絡(luò)帶寬資源；ARP掃描一般為ARP攻擊的前奏。出現(xiàn)原因（可能）：*病毒程序，偵聽程序，掃描程序。*如果網(wǎng)絡(luò)分析軟件部署正確，可能是我們只鏡像了交換機(jī)上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機(jī)發(fā)出的。*如果部署不正確，這些ARP請求廣播包是來自和交換機(jī)相連的其它主機(jī)。2.2ARP欺騙ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。所以在網(wǎng)絡(luò)中，有人發(fā)送一個自己偽造的ARP應(yīng)答，網(wǎng)絡(luò)可能就會出現(xiàn)問題。這可能就是協(xié)議設(shè)計者當(dāng)初沒考慮到的！2.2.1欺騙原理假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機(jī)，分別為主機(jī)A、B、C。主機(jī)詳細(xì)信息如下描述：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：MAC:CC-CC-CC-CC-CC-CC正常情況下A和C之間進(jìn)行通訊，但是此時B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA），當(dāng)C收到B偽造的ARP應(yīng)答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機(jī)A和C都被主機(jī)B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機(jī)B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。注意：一般情況下，ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。2.2.2兩種情況ARP欺騙存在兩種情況：一種是欺騙主機(jī)作為“中間人”，被欺騙主機(jī)的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣欺騙主機(jī)可以竊取到被它欺騙的主機(jī)之間的通訊數(shù)據(jù)；另一種讓被欺騙主機(jī)直接斷網(wǎng)。第一種：竊取數(shù)據(jù)（嗅探）通訊模式：應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請求->應(yīng)答->應(yīng)答->請求->應(yīng)答...描述：這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機(jī)向被欺騙主機(jī)發(fā)送大量偽造的ARP應(yīng)答包進(jìn)行欺騙，當(dāng)通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機(jī)雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽”了。出現(xiàn)原因（可能）：*木馬病毒*嗅探*人為欺騙第二種：導(dǎo)致斷網(wǎng)通訊模式：應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請求…描述：這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進(jìn)行欺騙，這樣A實質(zhì)上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進(jìn)行欺騙。對于偽造地址進(jìn)行的欺騙，在排查上比較有難度，這里最好是借用TAP設(shè)備（這個東東好像有點貴勒），分別捕獲單向數(shù)據(jù)流進(jìn)行分析！出現(xiàn)原因（可能）：*木馬病毒*人為破壞*一些網(wǎng)管軟件的控制功能3.常用的防護(hù)方法搜索網(wǎng)上，目前對于ARP攻擊防護(hù)問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護(hù)軟件，也出現(xiàn)了具有ARP防護(hù)功能的路由器。呵呵，我們來了解下這三種方法。3.1靜態(tài)綁定最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙，同時在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險。方法：對每臺主機(jī)進(jìn)行IP和MAC地址靜態(tài)綁定。通過命令，arp-s可以實現(xiàn)“arp–sIPMAC地址”。例如：“arp–sAA-AA-AA-AA-AA-AA”。如果設(shè)置成功會在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示：InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAstatic(靜態(tài))一般不綁定,在動態(tài)的情況下：InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAdynamic(動態(tài))說明：對于網(wǎng)絡(luò)中有很多主機(jī)，500臺，1000臺...，如果我們這樣每一臺都去做靜態(tài)綁定，工作量是非常大的。。。。，這種靜態(tài)綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個批處理文件，但是還是比較麻煩的！3.2使用ARP防護(hù)軟件目前關(guān)于ARP類的防護(hù)軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護(hù)的工作原理是一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。3.2.1欣向ARP工具我使用了該工具，它有5個功能：?A.IP/MAC清單選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設(shè)置。如果是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。IP/MAC掃描。這里會掃描目前網(wǎng)絡(luò)中所有的機(jī)器的IP與MAC地址。請在內(nèi)網(wǎng)運行正常時掃描，因為這個表格將作為對之后ARP的參照。之后的功能都需要這個表格的支持，如果出現(xiàn)提示無法獲取IP或MAC時，就說明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。?B.ARP欺騙檢測這個功能會一直檢測內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測表格里面，例如，路由器，電影服務(wù)器，等需要內(nèi)網(wǎng)機(jī)器訪問的機(jī)器IP。(補充)“ARP欺騙記錄”表如何理解：“Time”：發(fā)現(xiàn)問題時的時間；“sender”：發(fā)送欺騙信息的IP或MAC；“Repeat”：欺詐信息發(fā)送的次數(shù)；“ARPinfo”：是指發(fā)送欺騙信息的具體內(nèi)容.如下面例子：timesenderRepe