APR断网攻击、DNS欺骗攻击，导致网卡、断网怎么办

彻底根断的解决方案是：

ARP攻击首先知道他的攻击原理，一种是告诉网关虚假地址，导致下面主机发给路由的包路由发回去是错误的MAC，导致主机收不到，也就是数据包有去无回，这种解决办法是在路由上绑定IP与对应MAC地址，让路由不接受虚假的地址。另一种是直接发广播ARP欺骗主机，告诉主机一个虚假的网关地址，这种解决方法一种是自动的，前提是路由支持发送免费ARP，用免费ARP去刷新每台主机的ARP表，另一种是手动的在每台主机静态绑定网关的MAC，多数软件防火墙都可以在主机端自动绑，也可以通过DOS命令手工绑定。DNS欺骗在路由一侧的DHCP地址池下放正确的DNS地址的同时，如果条件允许可以上一个AAA认证机制服务器可以是RADIUS或是TACACS，但这个配置复杂，成本很高，但这是万全之策可以同时解决ARP和DNS欺骗，这个三A可以配合华为或是H3C提供的一种安全机制，具体是什么我忘了，刚才找了下H3C路由交换技术，实在太厚了，没找到，大概原理是要求每一台主机接入网络前必须安装服务器提供的杀毒软件并升级病毒库后才能用。小成本解决DNS欺骗的方法一是杀毒，二是手工指定DNS正确地址，三是修复浏览器和HOST文件，可以手工配合杀毒软件的方法。

临时解决方案是：

DNS的不太清楚，我对ARP理解得好一点，可以网络抓包，得到攻击源的频率和MAC，如果交换机支持CLI命令可以找出对应接口，先SHUTDOWN掉不安全接口，如果不支持CLI可以用封包工具，以比病毒快的频率发送正确的ARP去刷新主机或网关的ARP表，但这在一个小型网络可行，在大型网络很容易引起广播风暴。

最后还是建议网络工程师或管理员平时养成一个良好的习惯，尽量用VLAN分清各种业务平台，减少局域网被攻击的范围，做好每台主机的记录工作，记下每台主机的MAC和IP地址，方便发生内网主机攻击的时候迅速判断位置，在交换机和路由配置上多下工夫，做好ACL和网络优化，比如在接入层交换做好MAC和IP的绑定，做好端口安全，限定每个端口的MAC地址个数可发送频率，关闭容易受到攻击的例如445 137 138 139端口，做好日志统计工作，对员工做好安全培训工作。