❶ 怎麼有效攔截ARP攻擊求解答
杜絕IP 地址盜用現象。如果是通過代理伺服器上網:到代理伺服器端讓網路管理員把上網的靜態IP 地址與所記錄計算機的網卡地址進行*。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。這樣,就將上網的靜態IP 地址192.16.10.4 與網卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了,即使別人盜用您的IP 地址,也無法通過代理伺服器上網。如果是通過交換機連接,可以將計算機的IP地址、網卡的MAC 地址以及交換機埠綁定。
2、修改MAC地址,欺騙ARP欺騙技術
就是假冒MAC 地址,所以最穩妥的一個辦法就是修改機器的MAC 地址,只要把MAC 地址改為別的,就可以欺騙過ARP 欺騙,從而達到突破封鎖的目的。
3、使用ARP伺服器
使用ARP 伺服器。通過該伺服器查找自己的ARP 轉換表來響應其他機器的ARP 廣播。確保這台ARP 伺服器不被攻擊。
4、交換機埠設置
(1)埠保護(類似於埠隔離):ARP 欺騙技術需要交換機的兩個埠直接通訊,埠設為保護埠即可簡單方便地隔離用戶之間信息互通,不必佔用VLAN 資源。同一個交換機的兩個埠之間不能進行直接通訊,需要通過轉發才能相互通訊。
(2)數據過濾:如果需要對報文做更進一步的控制用戶可以採用ACL(訪問控制列表)。ACL 利用IP 地址、TCP/UDP 埠等對進出交換機的報文進行過濾,根據預設條件,對報文做出允許轉發或阻塞的決定。華為和Cisco 的交換機均支持IP ACL 和MAC ACL,每種ACL 分別支持標准格式和擴展格式。標准格式的ACL 根據源地址和上層協議類型進行過濾,擴展格式的ACL 根據源地址、目的地址以及上層協議類型進行過濾,異詞檢查偽裝MAC 地址的幀。
5、禁止網路介面做ARP 解析
在相對系統中禁止某個網路介面做ARP 解析(對抗ARP欺騙攻擊),可以做靜態ARP 協議設置(因為對方不會響應ARP 請求報義)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統中如:Unix , NT 等,都可以結合「禁止相應網路介面做ARP 解析」和「使用靜態ARP 表」的設置來對抗ARP 欺騙攻擊。而Linux 系統,其靜態ARP 表項不會被動態刷新,所以不需要「禁止相應網路介面做ARP 解析」,即可對抗ARP 欺騙攻擊。
6、使用硬體屏蔽主機
設置好你的路由,確保IP 地址能到達合法的路徑。( 靜態配置路由ARP 條目),注意,使用交換集線器和網橋無法阻止ARP 欺騙。
7、定期檢查ARP緩存
管理員定期用響應的IP 包中獲得一個rarp 請求, 然後檢查ARP 響應的真實性。定期輪詢, 檢查主機上的ARP 緩存。使用防火牆連續監控網路。注意有使用SNMP 的情況下,ARP 的欺騙有可能導致陷阱包丟失。
技巧一則址的方法個人認為是不實用的,首先, 這樣做會加大網路管理員的工作量,試想,如果校園網內有3000個用戶,網路管理員就必須做3000 次埠綁定MAC 地址的操作,甚至更多。其次, 網路管理員應該比較清楚的是, 由於網路構建成本的原因,接入層交換機的性能是相對較弱的, 功能也相對單一一些, 對於讓接入層交換機做地址綁定的工作,對於交換機性能的影響相當大, 從而影響網路數據的傳輸。
建議用戶採用綁定網關地址的方法解決並且防止ARP 欺騙。
1) 首先, 獲得安全網關的內網的MAC 地址。( 以windowsXP 為例)點擊"開始"→"運行", 在打開中輸入cmd。點擊確定後將出現相關網路狀態及連接信息, 然後在其中輸入ipconfig/all,然後繼續輸入arp - a 可以查看網關的MAC 地址。
2) 編寫一個批處理文件rarp.bat( 文件名可以任意) 內容如下:@echo offarp - darp - s 192.168.200.1 00- aa- 00- 62- c6- 09
將文件中的網關IP 地址和MAC 地址更改為實際使用的網關IP 地址和MAC 地址即可。
3) 編寫完以後, 點擊"文件" →"另存為"。注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型。點擊保存就可以了。最後刪除之前創建的"新建文本文檔"就可以。
4) 將這個批處理軟體拖到"windows- - 開始- - 程序- - 啟動"中, ( 一般在系統中的文件夾路徑為C:\Documents and Settings\All Users\「開始」菜單\ 程序\ 啟動) 。
5) 最後重新啟動一下電腦就可以。
靜態ARP 表能忽略執行欺騙行為的ARP 應答, 我們採用這樣的方式可以杜絕本機受到ARP 欺騙包的影響。對於解決ARP 欺騙的問題還有多種方法: 比如通過專門的防ARP 的軟體, 或是通過交換機做用戶的入侵檢測。前者也是個針對ARP欺騙的不錯的解決方案, 但是軟體的設置過程並不比設置靜態ARP 表簡單。後者對接入層交換機要求太高, 如果交換機的性能指標不是太高, 會造成比較嚴重的網路延遲, 接入層交換機的性能達到了要求, 又會使網路安裝的成本提高。
❷ 如何化解ARP攻擊
ARP攻擊現在經常發生,遇到這些問題怎麼辦呢?請看下面筆者給出的解決方法! 前段時間經常有用戶打電話抱怨上網時斷時續,有時甚至提示連接受限、根本就無法獲得IP(我們單位用的是動態IP)。交換機無法ping通,而指示燈狀態正常。重啟交換機後客戶機可以上網,但很快又濤聲依舊!嚴重影響了用戶使用,甚至給用戶造成了直接經濟損失,(我們單位很多人都在炒股、炒基金,由於無法及時掌握行情,該出手時無法出手。) 根據用戶描述的情形和我們多次處理的經驗,可以肯定是由於網路中存在ARP攻擊(ARP欺騙)所致。至於什麼是ARP攻擊,我就不用再說了吧。知道了問題所在,但如何解決呢? 雖然可以採用在交換機綁定MAC地址和埠、在客戶機綁定網關IP和MAC地址的「雙綁」辦法預防,但由於網管的工作量太大,且不能保證所有的用戶都在自己的電腦上綁定網關IP和MAC地址,所以我們採取以下措施來預防和查找ARP攻擊。 我們推薦用戶在自己的電腦上安裝ColorSoft開發的ARP防火牆(原名Anti ARP Sniffer),該軟體通過在系統內核層攔截虛假ARP數據包以及主動通告網關本機正確的MAC地址,可以保障安裝該軟體的電腦正常上網;攔截外部對本機的ARP攻擊和本機對外部的ARP攻擊。 如果發現內部ARP攻擊,直接處理本機就行了;如果發現外部ARP攻擊,則根據實際情況通過攻擊者的IP地址和/或MAC地址查找該攻擊者電腦。 好了,讓我們一起行動吧。 1、在同一網段的電腦上下載ARP防火牆、安裝、運行。第一天,一切正常,沒發現攻擊行為。第二天,開機不到半小時就發現了ARP攻擊,如圖1。 圖1 ARP防火牆發現外部ARP攻擊 2、為了不冤枉好人,進一步確認攻擊者的MAC地址。進入核心交換機,查看該網段的MAC地址表。我們的核心交換機是華為的,鍵入命令「Display arp vlan xx」(xx為所要查找ARP攻擊網段的VLAN號),回車。顯示如圖2所示結果。 圖2 核心交換機上顯示的MAC地址表 為了方便查看,我們將該數據拷貝到Word中並按MAC地址排序。在Word中,選中該數據,從「表格」菜單中選擇「排序」菜單項,彈出「排序文字」窗口,「主要關鍵字」選「域 3」即MAC地址,如圖3。 圖3 排序MAC地址表 排序後很容易就可以看到有四個IP地址對應於同一個MAC地址(如表1)!我們知道MAC地址是全球唯一的,這與ARP防火牆檢測到的結果相吻合,現在MAC地址0011-5b2d-5c03所對應的電腦肯定有問題了。這些IP中應該只有xxx. xxx. xx.92是真實的,其餘的都是偽造的。由於我們的電腦一直在監測,該攻擊者電腦剛對外攻擊,就被檢測到了,所以它偽造的IP地址還不多,我曾經發現過偽造了近10個IP地址的情形,而該網段總共有二十多台電腦。 表1 偽造的IP地址 xxx. xxx. xx.178 0011-5b9d-7246 xxx. xxx. xx.188 0011-5b9d-7246 xxx. xxx. xx.197 0011-5b9d-7246 xxx. xxx. xx.92 0011-5b9d-7246 3、查找ARP攻擊者。 如果是靜態IP,找出IP地址登記表,很容易就可找到發送ARP攻擊的電腦。由於我們用的是動態IP,又沒有每台電腦的MAC地址,所以雖然知道了攻擊者的IP地址和MAC地址,但是萬里長征還只邁出了第一步。 我們的DHCP伺服器是基於Microsoft Windows 2003的,打開DHCP管理器,從地址租約里查看IP地址xxx. xxx. xx.92對應的計算機名,是隨機的,沒什麼意義。(有時候根據計算機名,可以推斷出該計算機的主人。) 登錄到有所要查找網段VLAN的各接入層交換機上,逐一查看該交換機上的MAC地址表。 我們用的是安奈特的交換機,在Web界面下按VLAN查詢MAC地址表,看是否有MAC地址為0011-5b9d-7246的記錄。一直查到第15台交換機,才終於找到罪魁禍首,結果如圖4,可以看出該MAC地址對應於交換機的第16口。別的廠家的可網管交換機也都有查看MAC地址的功能。 圖4 接入層交換機上的MAC地址表 4、剩下工作的就簡單了,先將該交換機的第16口Disable,然後查找用戶上網登記信息,通知該用戶處理自己的電腦。 不知道本文是否對您有所幫助。最後,推薦幾點防範ARP攻擊的措施: 1、在交換機上劃分VLAN,這樣即使網路中存在ARP攻擊,也僅影響該VLAN的用戶,縮小受影響范圍和查找范圍。 2、要求用戶安裝ARP防火牆。既可防止來自外部的ARP攻擊,也可防止本機向外發送ARP攻擊。一旦發現攻擊及時與網管聯系。
❸ 被arp攻擊了,怎麼才能找到是哪台機器,單位的網路,使用的是華為交換機。
在交換機上做埠綁定綁定,如果誰的電腦上不了網了,那就是誰在搞破壞
❹ 公司區域網內伺服器頻繁被ARP攻擊,防火牆提示有人偽裝網關攻擊
你們公司有人安裝了P2P終結者,控制速度和限制別人電腦用的,安裝這個會顯示攻擊。還有是區域網某人電腦上設置了區域網監測。解決的辦法是安裝反P2P終結者,把對 方 干 掉。
❺ 怎麼有效攔截ARP攻擊
1、*MAC和IP地址
杜絕IP 地址盜用現象。如果是通過代理伺服器上網:到代理伺服器端讓網路管理員把上網的靜態IP 地址與所記錄計算機的網卡地址進行*。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。這樣,就將上網的靜態IP 地址192.16.10.4 與網卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了,即使別人盜用您的IP 地址,也無法通過代理伺服器上網。如果是通過交換機連接,可以將計算機的IP地址、網卡的MAC 地址以及交換機埠綁定。
2、修改MAC地址,欺騙ARP欺騙技術
就是假冒MAC 地址,所以最穩妥的一個辦法就是修改機器的MAC 地址,只要把MAC 地址改為別的,就可以欺騙過ARP 欺騙,從而達到突破封鎖的目的。
3、使用ARP伺服器
使用ARP 伺服器。通過該伺服器查找自己的ARP 轉換表來響應其他機器的ARP 廣播。確保這台ARP 伺服器不被攻擊。
4、交換機埠設置
(1)埠保護(類似於埠隔離):ARP 欺騙技術需要交換機的兩個埠直接通訊,埠設為保護埠即可簡單方便地隔離用戶之間信息互通,不必佔用VLAN 資源。同一個交換機的兩個埠之間不能進行直接通訊,需要通過轉發才能相互通訊。
(2)數據過濾:如果需要對報文做更進一步的控制用戶可以採用ACL(訪問控制列表)。ACL 利用IP 地址、TCP/UDP 埠等對進出交換機的報文進行過濾,根據預設條件,對報文做出允許轉發或阻塞的決定。華為和Cisco 的交換機均支持IP ACL 和MAC ACL,每種ACL 分別支持標准格式和擴展格式。標准格式的ACL 根據源地址和上層協議類型進行過濾,擴展格式的ACL 根據源地址、目的地址以及上層協議類型進行過濾,異詞檢查偽裝MAC 地址的幀。
5、禁止網路介面做ARP 解析
在相對系統中禁止某個網路介面做ARP 解析(對抗ARP欺騙攻擊),可以做靜態ARP 協議設置(因為對方不會響應ARP 請求報義)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統中如:Unix , NT 等,都可以結合「禁止相應網路介面做ARP 解析」和「使用靜態ARP 表」的設置來對抗ARP 欺騙攻擊。而Linux 系統,其靜態ARP 表項不會被動態刷新,所以不需要「禁止相應網路介面做ARP 解析」,即可對抗ARP 欺騙攻擊。
6、使用硬體屏蔽主機
設置好你的路由,確保IP 地址能到達合法的路徑。( 靜態配置路由ARP 條目),注意,使用交換集線器和網橋無法阻止ARP 欺騙。
7、定期檢查ARP緩存
管理員定期用響應的IP 包中獲得一個rarp 請求, 然後檢查ARP 響應的真實性。定期輪詢, 檢查主機上的ARP 緩存。使用防火牆連續監控網路。注意有使用SNMP 的情況下,ARP 的欺騙有可能導致陷阱包丟失。
技巧一則
址的方法個人認為是不實用的,首先, 這樣做會加大網路管理員的工作量,試想,如果校園網內有3000個用戶,網路管理員就必須做3000 次埠綁定MAC 地址的操作,甚至更多。其次, 網路管理員應該比較清楚的是, 由於網路構建成本的原因,接入層交換機的性能是相對較弱的, 功能也相對單一一些, 對於讓接入層交換機做地址綁定的工作,對於交換機性能的影響相當大, 從而影響網路數據的傳輸。
建議用戶採用綁定網關地址的方法解決並且防止ARP 欺騙。
1) 首先, 獲得安全網關的內網的MAC 地址。( 以windowsXP 為例)點擊"開始"→"運行", 在打開中輸入cmd。點擊確定後將出現相關網路狀態及連接信息, 然後在其中輸入ipconfig/all,然後繼續輸入arp - a 可以查看網關的MAC 地址。
2) 編寫一個批處理文件rarp.bat( 文件名可以任意) 內容如下:
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
將文件中的網關IP 地址和MAC 地址更改為實際使用的網關IP 地址和MAC 地址即可。
3) 編寫完以後, 點擊"文件" →"另存為"。注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型。點擊保存就可以了。最後刪除之前創建的"新建文本文檔"就可以。
4) 將這個批處理軟體拖到"windows- - 開始- - 程序- - 啟動"中, ( 一般在系統中的文件夾路徑為C:\Documents and Settings\All Users\「開始」菜單\ 程序\ 啟動) 。
5) 最後重新啟動一下電腦就可以。
靜態ARP 表能忽略執行欺騙行為的ARP 應答, 我們採用這樣的方式可以杜絕本機受到ARP 欺騙包的影響。對於解決ARP 欺騙的問題還有多種方法: 比如通過專門的防ARP 的軟體, 或是通過交換機做用戶的入侵檢測。前者也是個針對ARP欺騙的不錯的解決方案, 但是軟體的設置過程並不比設置靜態ARP 表簡單。後者對接入層交換機要求太高, 如果交換機的性能指標不是太高, 會造成比較嚴重的網路延遲, 接入層交換機的性能達到了要求, 又會使網路安裝的成本提高。
在應對ARP 攻擊的時候,除了利用上述的各種技術手段,還應該注意不要把網路安全信任關系建立在IP 基礎上或MAC 基礎上,最好設置靜態的MAC->IP 對應表,不要讓主機刷新你設定好的轉換表,除非很有必要,否則停止使用ARP,將ARP 做為永久條目保存在對應表中。
❻ 受到ARP攻擊怎麼辦急!!!
1.只能每台都裝ARP防火牆,包括不掉線的,還要在路由上做arp綁定,DHCP服務不要開,手動獲取IP,最好設靜態IP,如果你想揪出元兇,建議你用抓包軟體,我用的是CommView V5.0,漢化版,
試用一個月的版本,足夠了,
開著它,規則設好,在掉線的時候包你當場抓住那台電腦,不過你一定要設置好規則,你既然肯定是ARP,那就只抓ARP協議的包了,你還要能看的懂包內容,
比如你在很短的一段時間發現192.168.1.X這個地址在向不同的地址發包,那這台機肯定是有問題了,關鍵是192.168.1.X這個地址和誰在通信,如果是很奇怪的IP,這個IP不存在或者是大量前幾位一樣後兩位不一樣的IP,那麼這台機很有嫌疑,具體的使用方法再網路搜 一下,打字好累,另外,網路環路也能造成經常掉線,就是近期你這個區域網有沒有添加新的交換機,添加的時候有沒有注意造成環路,什麼是環路,一句說不完,你查查網路.
2.還有某台機的網卡壞了,也會造成網路風暴,產生大面積頻繁掉線
3.還有如果某個交換機質量問題也可能造成此現象,既然你確定是ARP,那你就用這個軟體抓出元兇,祝你成功.
4.現在雙向綁定都沒啥用了,這個東東沒有徹底解決方法,有個方法倒是一試,不過想你可能不是網管,不太方便啊,就是把每台機的npptools.dll文件替換成無用的同名文件,但是替換方法一句話說不完,因為這個文件受保護,替換這個文件的作用是即使中了ARP,也沒有攻擊別的電腦的功能了,但不能抵擋別人的攻擊,只是管住自己不攻擊別人,但是這樣的同時,大部分網管軟體也將失效,比如P2P終結者,聚生網管等
說到這里,也許區域網有個別不自覺的人用了變態的網管軟體,惡意限制別人網速,也會有類似的現象哦!!
最後說一句,如果你用ARP規則抓不到元兇的話,就換個規則,比如抓所有的出入數據包,這樣,整個區域網內有任何風吹草動,馬上就一目瞭然
有興趣研究一下,開迅雷,開QQ,每個軟體開以後,抓包軟體的數據都會有變化,很有規律,
祝你成功找到兇手!!!!
肯定能抓到元兇啦,直接看到的就是真實的IP和MAC.我用過地,過來人了,在不能打開網頁的情況下都可抓到的,如果想反擊它,直接對著它的MAC地址點右鍵發送數據,大小和頻率你看著填吧,保它一會就掉,哈哈.小心使用哦
這個不好說啊,地址我忘了,要不然我發給你?QQ269434204,記得查毒哦,
天空軟體站的那個版本本身就是中文的,是你沒裝好,注意看中文說明,你沒有把語言文件放在軟體目錄,就是那個2052的,還要重開軟體,在菜單里設置一下才行
❼ 如何判斷交換機是否受到ARP攻擊以及處理方式
如何判斷交換機是否受到ARP攻擊以及處理方式
一、如果網路受到了ARP攻擊,可能會出現如下現象:
1、用戶掉線、頻繁斷網、上網慢、業務中斷或無法上網。
2、設備CPU佔用率較高、設備託管、下掛設備掉線、設備主備狀態震盪、設備埠指示燈紅色快閃。
3、Ping有時延、丟包或不通。
定位ARP攻擊時,請先排除鏈路、環路或路由問題,排除後再執行下面的步驟。執行過程中請保存以下步驟的執行結果,以便在故障無法解決時快速收集和反饋信息。
1、在網關上執行命令display cpu-defend statistics all,查看ARP Request、ARP Reply或ARP Miss報文的「Drop」計數是否增長。
如果計數為0,設備沒有丟棄ARP報文。
如果有計數,表示設備收到的ARP報文由於超過了CPCAR的速率限制而被丟棄。
如果是ARP Miss報文丟棄很多,設備很可能受到了ARP Miss攻擊。
如果是ARP Request或ARP Reply報文丟棄很多,設備很可能受到了ARP Request或ARP Reply報文攻擊。
2、在網關上執行命令display arp all,查看用戶的ARP表項是否存在。
如果ARP表項還在,請再查看用戶的ARP表項,然後確定是否有用戶或網關的ARP表項被改變。
如果是網關上用戶ARP表項被改變,設備受到了ARP欺騙網關攻擊。
在設備與用戶連接的介面上獲取報文頭,分析ARP報文的源地址,找出攻擊者。
建議找出攻擊者後進行殺毒或卸載攻擊工具。也可以在網關設備上配置防攻擊功能,請根據情況選擇配置。
3、系統視圖下執行命令arp static,配置靜態ARP表項。
如果下掛用戶較少,可以通過配置靜態ARP表項,綁定MAC地址和IP地址,確保IP地址不會被偽用戶盜用。
4、系統視圖或介面視圖下執行命令arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable,配置ARP表項固化功能。
fixed-mac方式適用於用戶MAC地址固定,但用戶接入位置頻繁變動的場景。當用戶從不同介面接入設備時,設備上該用戶對應的ARP表項中的介面信息可以及時更新。
fixed-all方式適用於用戶MAC地址固定,並且用戶接入位置相對固定的場景。
send-ack方式適用於用戶的MAC地址和接入位置均頻繁變動的場景。
二、處理方式:
1、配置黑名單或黑洞MAC對攻擊源的報文進行丟棄處理。
如果是用戶的網關ARP表項被改變,設備受到了ARP仿冒網關攻擊。
在設備與用戶連接的介面上獲取報文頭,分析ARP報文的源地址,找出攻擊者。
建議找出攻擊者後進行殺毒或卸載攻擊工具。也可以在網關設備上配置防攻擊功能,請根據情況選擇配置。
2、在網關的下行介面配置埠隔離,防止同一VLAN的用戶收到攻擊的ARP。
系統視圖下執行命令arp anti-attack gateway-plicate enable,使能ARP防網關沖突攻擊功能。
3、在介面或VLAN視圖下執行命令arp anti-attack check user-bind enable,使能動態ARP檢測功能(即對ARP報文進行綁定表匹配檢查功能)。
動態ARP檢測功能主要用於防禦中間人攻擊的場景,避免合法用戶的數據被中間人竊取。
4、在系統視圖下執行命令arp anti-attack packet-check { ip | dst-mac | sender-mac }*,使能ARP報文合法性檢查功能,並指定ARP報文合法性檢查項。
配置後,還需應用該防攻擊策略才能生效。
用戶視圖下執行命令display arp anti-attack configuration arp-speed-limit,查看是否配置了ARP報文限速。
系統視圖下執行命令arp speed-limit source-ip [ ip-address ] maximum maximum,調整根據源IP地址進行ARP報文限速的限速值。
系統視圖下執行命令arp speed-limit source-mac [ mac-address ] maximum maximum,調整根據源MAC地址進行ARP限速的限速值。
系統視圖、VLAN視圖或介面視圖下執行命令arp anti-attack rate-limit packet packet-number,調整ARP報文的限速值。
❽ arp攻擊造成交換機死機,應該如何解決
進行埠綁定,以華為交換機為例
交換機華為S2016-E1:
[S2016-E1-Ethernet0/1]mac-address max-mac-count 0;
進入到埠,用命令mac max-mac-count 0(埠mac學習數設為0)
[S2016-E1]mac static 0000-9999-8888 int e0/1 vlan 10;
將0000-9999-8888綁定到e0/1埠上,此時只有綁定mac的pc可以通過此口上網,同時E0/1屬於vlan 10
就這樣,ok了,不過上面兩個命令順序不能弄反,除非埠下沒有接pc
❾ 華為交換機出現這個情況是什麼原因,該怎麼解決求大神。在線等。
典型的ARP攻擊,現在的狀況是你的交換機學習不到正確的MAC地址和IP之間的對應關系,MAC地址全零,交換機提示無效的MAC,我看你的都是萬兆口提示的,你可以嘗試一下挨個拔掉介面,看看拔到誰的時候不出問題了,再不行的話就打華為的售後解決吧,讓他們告訴你怎麼開啟arp防攻擊之類的埠策略。華為售後:4008229999