如何查杀arp病毒

如何查杀arp病毒?

ARP (Address Resolution Protocol) 是个地址解析协议。最直白的说法是：在IP-以太网中，当一个上层协议要发包时，有了节点的IP地址，ARP就能提供该节点的MAC地址。

那么，arp断网攻击怎么办?

目前防护局域网中ARP木马病毒最有效的方法是通过网关和终端双向绑定ip和mac 地址来实现，但是这种方法还是不能有效的阻止ARP对局域网的攻击，原因何在?

其实最重要的原因是在我们发现ARP病毒并设置双向绑定时，ARP病毒早已更改了本地电脑的MAC地址，从而导致绑定无效。另一方面就是人为的破坏，比如说局域网中有人使用P2P终结者等诸多情况，都可能导致局域网中充斥着大量的ARP包，这些都将会导致网络性能的下降。针对这些问题，我们应该如何面对和解决呢?

方法：

1、做好第一道防线，实现网关和终端双向绑定IP和MAC地址。

针对局域网中的每一台计算机利用“IPCONFIG”命令获取本机IP和MAC地址，并将该信息添加到路由器ARP映射表中。同时通过查看路由器的LAN口参数获取其IP和MAC

地址，然后在局域网中的每台计算机上实现静态ARP绑定。

具体做法是：打开“运行”对话框，输入CMD进入MSdos界面，通过IPCONFIG命令获取本机的IP地址和MAC地址。然后打开浏览器，输入网址“http;//192168.1.1”进入路由器配置界面，在界面中定位到ARP与IP地址绑定位置处，设置“单机的MAC地址和IP地址的匹配规则”，指定局域网中各个计算机的IP地址和其对应MAC地址实现绑定。

2、通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址，然后在局域网中的每台电脑中实现静态ARP绑定。

具体做法：打开“运行”对话框，输入CMD进入MSdos界面，然后通过输入如图所示的命令实现网关IP地址和MAC地址的绑定。

3、付出少需的代价换来局域网的长久平静。

打开360安全卫士，依次点击“功能大全”-“木马防火墙”-“开启ARP防火墙”，在ARP防火墙上点击，进入360局域网防护界面，点击“切换到手动绑定防火墙”，输入经过查找的正确的网关IP和MAC地址后点击确定。

4、斩草除根，彻底追踪查杀ARP病毒。

利用局域网ARP欺骗检测工具来确定ARP攻击源，然后利用ARP专杀工具进行杀毒。例如：安天ARP欺骗检测工具，此检测工具针对流行的局域网ARP欺骗，可以有效的定位到发起ARP欺骗的主机。也可以采用360来实现ARP攻击源的查找，在受到ARP攻击

后，通过点击360安全为师局域网防护界面中的“查看详细日志”来追踪攻击源。查找并定位到攻击源地址以后，在相应的计算机上安装ARP专杀工具进行查杀操作。例如，当我们的机子受到ARP攻击时，我们查到了攻击源的MAC地址：00-21-97-12-15-0D，将该MAC 地址与路由器当中的ARP映射表进行对比来确定攻击源主机，然后对该主机进入ARP的查杀工作。

高手教你如何清除局域网中的ARP病毒

高手教你如何清除局域网中的ARP病 毒 作者: , 出处:IT专家网论坛,责任编辑: 吕烨, 2007-05-23 15:27 现在局域网中感染ARP病毒的情况比较多，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验，同时也在网上翻阅了不少的参考资料。 ARP病毒的症状 有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误; 局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。 ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内，或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。 处理办法 通用的处理流程 1.先保证网络正常运行 方法一：编辑一个***.bat文件内容如下： arp.exe s **.**.**.**(网关ip) **** ** ** ** **( 网关MAC地址) end 让网络用户点击就可以了!

ARP病毒彻底清除方法

最近流行的ARP病毒彻底清除方法 1、删除”病毒(一种具有隐蔽性破坏性传染性的恶意代码)组件释放者”程序： “%windows%\System32\LOADHW.EXE”（window xp 系统目录为：“C:\WINDOWS\Syst em32\LOADHW.EXE”） 2、删除”发ARP欺骗包的驱动(驱动程序即添加到操作系统中的一小块代码，其中包含 有关硬件设备的信息)程序” (兼“病毒(一种具有隐蔽性破坏性传染性的恶意代码)守护程序”)： “%windows%\System32\drivers\n pf.sys”（window xp 系统目录为：“C:\WINDOWS\Syste m32\drivers\npf.sys”） 2、npf.sys病毒手工清除方法 3、病毒的查杀有很多种方式，下面就让我们来介绍一下手工查杀的方法。 4、npf.sys(%system32/drivers/npf.sys)是该npf病毒主要文件，病毒修改注册表创建系统服务 NPF实现自启动，运行ARP欺骗，在病毒机器伪造MAC地址时，不停地向各个机器发送ARP包堵塞网络，使得传输数据越来越慢，并且通过伪掉线来使用户重新登陆游戏，这样它就可以截取局域所有用户登陆游戏时的信息数据。 5、该病毒往往造成网络堵塞，严重时造成机器蓝屏!!!!。开始杀毒: 6、1.首先删除%system32/drivers/下的npf.sys文件 7、2.进入注册表删除 8、HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf服务。 9、同时删除 10、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY-NPF 11、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/Root/LEGACY-NPF 12、 3.删这两键时，会提示无法删除，便右键，权限，设everyone控制，删除。 13、 14、 a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备” b. 在设备树结构中,打开”非即插即用….” c. 找到“NetGroup Packet Filter Driver”或“NetGroup Packet Filter” ,若没找到,请先刷新设 备列表 d. 右键点击“NetGroup Packet Filter Driver”或“NetGr oup Packet Filter”菜单,并选择”卸 载” e. 重启windows系统 f. 删除“%windows%\System32\drivers\npf.sys”（window xp系统目录为：“C:WINDOWS\ System32\drivers\npf.sys”） 3、删除”命令驱动(驱动程序即添加到操作系统中的一小块代码，其中包含有关硬件设 备的信息)程序发ARP欺骗包的控制者”

手把手教你如何清除局域网中的ARP病毒

手把手教你如何清除局域网中的ARP病毒 如今局域网中感染ARP病毒的状况比拟多，整理和防备都比拟艰难，给不少的网络办理员造成了许多的困惑。下面就是个人在处置这个难题的一些经历，一起也在网上翻阅了不少的参考资料。 ARP病毒的表现 有时分无法正常上彀，有时分有好了，包含拜访网上邻居也是如此，复制文件无法完结，呈现过错；局域网内的ARP包爆增，运用ARP查询的时分会发现不正常的MAC地址，或许是过错的MAC地址对应，还有就是一个MAC地址对应多个IP的状况也会有呈现。ARP进犯的原理ARP诈骗进犯的包通常有以下两个特色，满意之一可视为进犯包报警：榜首以太网数据包头的源地址、方针地址和ARP数据包的协议地址不匹配。或许，ARP数据包的发送和方针地址不在本人网络网卡MAC数据库内，或许与本人网络MAC数据库MAC/IP不匹配。这些通通榜首时间报警，查这些数据包(以太网数据包)的源地址(也有能够假造)，就大致晓得那台机器在建议进犯了。如今有网络办理东西比方网络执法官、P2P终结者也会运用相同的方法来伪装成网关，诈骗客户端对网关的拜访，也就是会获取发到网关的流量，然后完成网络流量办理和网络监控等功能，一起也会对网络办理带来潜在的损害，就是能够很简单的获取用户的暗码等关联信息。 处置方法 通用的处置流程 1.先包管网络正常运转 方法一：修改一个***.bat文件内容如下： arp.exes**.**.**.**（网关ip）************（网关MAC地址）end 让网络用户点击就能够了! 方法二：修改一个注册表难题，键值如下： WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVers ion\Run]"MAC"="arps网关IP地址网关MAC地址" 然后保管成Reg文件今后在每个客户端上点击导入注册表。 2.找到感染ARP病毒的机器 a、在电脑上ping一下网关的IP地址，然后运用ARP－a的指令看得到的网关对应的MAC地址能否与实际状况相符，如不符，可去查找与该MAC地址对应的电脑。 b、运用抓包东西，剖析所得到的ARP数据报。有些ARP病毒是会把通往网关的途径指向本人，有些是宣布虚伪ARP回答包来混杂网络通信。最新电影https://www.wendangku.net/doc/ab2556487.html,榜首种处置比拟简单，第二种处置比拟艰难，若是杀毒软件不能正确辨认病毒的话，往往需求手艺查找感染病毒的电脑和手艺处置病毒，比拟艰难。 c、运用MAC地址扫描东西，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判别感染ARP 病毒对应MAC地址和IP地址。 预防措施 1、及时晋级客户端的操作系统和应用程式补丁；

局域网中了ARP病毒不断遭到攻击怎么查出是哪个机器中的病毒

局域网中了ARP病毒不断遭到攻击怎么查出是哪个机器中的病毒？ 问题补充：我家是局域网整个楼用这一个网。。 那天突然出现无数IP攻击。。显示网关欺骗（我用的360ARP防火墙） 我都拦截了但是还是严重影响了网络。。经常导致掉线。。。 每天都有好多IP攻击。有时候一个IP就攻击上万次。 我从网上查了是某个机器了ARP病毒但是我的机器没中 第一想知道怎么能查出是哪个机器中了ARP病毒。 第二是怎么能防御使我的机器不掉线。。 高手来帮忙下。。小妹谢了现在玩个游戏都不行。，挺郁闷。。 问题补充：如何在客户机运行路由跟踪命令。。 满意答案好评率：100% 一、首先诊断是否为ARP病毒攻击 1、当发现上网明显变慢，或者突然掉线时，我们可以用arp-命令来检查ARP表：（点击“开始”按钮 - 选择“运行” - 输入“cmd” 点击"确定"按钮，在窗口中输入“arp -a”命令）如果发现网关的MAC 地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。 2、利用Anti ARP Sniffer软件查看（详细使用略）。 二、找出ARP病毒主机 1、用“arp –d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。通过上面的arp –a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig/all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以取到PC的真实IP地址和MAC地址。 命令：“nbtscan -r 192.168.80.0/24”（搜索整个192.168.80.0/24网段, 即 192.168.80.1-192.168.80.254）；或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 网段，即192.168.80.25-192.168.80.137。输出结果第一列是IP地址，最后一列是MAC地址。这样就可找到病毒主机的IP地址。 2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert –d https://www.wendangku.net/doc/ab2556487.html,，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。 当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。但如果不是上面这种情况，IP设置又无规律，或者IP是动态获取的那该怎么办呢？难道还是要一个个去查？非也！你可以这样：把一台机器的IP地址设置成与作祟机相同的相同，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。 三、处理病毒主机 1、用杀毒软件查毒，杀毒。 2、建议重装系统，一了百了。（当然你应注意除系统盘外其他盘有无病毒） 四、如何防范ARP病毒攻击 1、从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC 地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

如何快速查出局域网内ARP病毒

如何能够快速检测定位出局域网中的ARP病毒电脑？面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。 识别ARP 可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确的网关IP地址和MAC地址，并且实时监控来自全网的ARP数据包。当发现有某个ARP数据包广播，来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候，ARP欺骗发生了。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。 一般情况下，被ARP被攻击后，局域网内会出现以下两种现象： 1、不断弹出―本机的XXX段硬件地址与网络中的XXX段地址冲突‖的对话框。 2、计算机不能正常上网，出现网络中断的症状。 很多管理员认为有高级功能防火墙，可以得到相应的保护，恰恰相反，防火墙会误以为这是正常的请求数据包，不予拦截。由此而见，需要我们找到问题根源，找到源头，才能真正解决问题所在。当你的局域网内出现上面症状后，根据局域网大小，方可使用以下三种方法来检测ARP中毒电脑： 检测ARP攻击 一、工具软件法：网上已经有很多ARP病毒定位工具软件，目前网络中做得较好的是ARP防火墙。打开ARP防火墙，输入网关IP地址后，再点击红色框内的―枚举MAC‖按钮，即可获得正确网关的MAC地址，接着点击―自动保护‖按钮，即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。 二、命令行法：在受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，在cmd命令提示行下输入查询命令为arp －a。这时，由于这个电脑的ARP表是错误的记录，因此，该MAC 地址不是真正网关的MAC地址，而是中毒电脑的MAC地址！这时在根据全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。如果我们没有对IP地址和MAC地址进行绑定，甚至MAC地址也没有记录，此时就可以使用以下策略：在能上网的计算机上，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来；如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，再运行arp –a。 三、Sniffer 抓包嗅探法：当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动。局域网中有电脑发送ARP广播包的情况是存在的，但是如果不停的大量发送，就很可疑了。如此台192.168.0.109 电脑正是一个ARP中毒电脑。 此时利用网络监视器就可以抓取网络中的数据包，先查出发送arp数据的电脑的IP(可能是假的)及MAC 地址，然后找对应的机器就很容易找到中毒的机器了。 ARP病毒的清除 处理原则：及时恢复网络，再查找根源，最后清除病毒。 比如：有一台计算机中ARP病毒后，第一时间不能确定具体的那台计算机，这种情况下，可先保证网络正常运行：

一招绝杀ARP病毒

一招绝杀ARP病毒 信不信由你，对于一般网络来讲，95%以上的问题都是发生在内网。现实中，很难想象外部人员攻破了防火墙，进到内网转了一圈然后扬长而去这样的事情发生。事情往往是这样的，一台电脑因上网或使用U盘中了毒，然后以它为“中心”影响到了公司内网；或有不轨之徒，将未授权的电脑轻松地接入了内网，因为内网没有任何安全策略，导致所有资源一览无余，同时TA还可以进行一些破坏活动，比如ARP攻击。 如何才能让内网变得更加安全？其实答案非常简单——牢牢管住每台交换机上的每个端口。对交换机端口实施有效的管理，其目的是抑制存在风险的流量进入网络，只要做到这一点，什么ARP攻击，DHCP攻击等等，一切都将是浮云。要知道，在内网中搞破坏其实很简单，所以我们必须具备一定的风险防御手段。 飞鱼星防攻击安全联动系统（ASN） 注解：当路由器发现内网有SYN FLOOD类别的DDoS攻击时，它会将管理指令发给交换机，交换机在相关端口执行命令，关闭攻击源所在的端口，并实施5分钟的断网惩罚，以保护整体网络的安全和稳定。 今天我们要介绍的不是一款产品，而是一套方案——飞鱼星防攻击安全联动系统（ASN）。ASN系统由路由器和交换机两部分组成，由于引入了交换机，所以这套系统可以将管理策略延伸至网络的末端，也就是交换机的每个端口上。除了“延伸”了可管理性，ASN系统的另一大特点是设备间的联动，只需将交换机接入网络，路由器就可以自动查找

并接管交换机。这种设计的一大优势就是简化管理，试想，也许管理1台交换机很容易，但如果是10台交换机，甚至是更大型的网络该怎么办？集中管理手段还是很必要的。 飞鱼星 6200图片评测论坛报价网购实价 我们先来看一下ASN联动系统的核心组件——路由器。本次试用我们拿到的是Volans-6200，这是一款全千兆多WAN防火墙宽带路由器，针对网吧应用进行了大量优化。6200内置了64位处理器，1G主频，内存达到了256M，最高支持40万条网络会话。6200提供2个千兆WAN口，4个千兆LAN口，这样的配置可完全满足网吧核心千兆组网的需求，而且为日后网络扩容提供了足够的性能冗余，典型带机量为400台左右。

ARP病毒终极解决方案

GAMETUZI MSN aipaotuzi@https://www.wendangku.net/doc/ab2556487.html, ARP病毒终极解决方案 说明： 现在网络上ARP类病毒及其变种越来越多，导致网络时断时续，严重影响到公司关健业务如ARP/CRM/OA/APS等应用系统的运行。同时很多用户投诉我们网络部，而我们有苦难言。在采取了一定的技术手段后，目前一切运行正常。即使有ARP病毒发作，影响面很少。针对ARP类病毒，我个人观点如下： 一、检查ARP病毒 检查网络中是否有ARP类病毒，有如下方法： 1、在PC电脑上，输入arp –a 如果看到的网关的MAC和实际不一样，则可 以是感染了ARP类病毒 2、在中心交换机上，输入：sh arp 看到很多IP地址对应的MAC一样，则说 明那个MAC的电脑感染了病毒（远程VPN用户的IP地址除外，因为 VPN用户拨入成功并获取IP地址后，IP对应的是VPN服务器上的MAC 地址） 3、也可以在路由器或交换机上使用debug arp查看或sh logging显示有IP地 址冲突信息 4、如果网关为linux，可以使用命令：tcpdump -nn –i eth0 arp检测，如果出 现如下信息，则说明192.168.0.2感染了arp病毒。 15:01:53.597121 arp who-has 192.168.0.1 tell 192.168.0.2 15:01:53.597125 arp who-has 192.168.0.1 tell 192.168.0.2 15:01:53.617436 arp who-has 192.168.0.2 tell 192.168.0.2 15:01:53.617440 arp who-has 192.168.0.2 tell 192.168.0.2

ARP病毒专杀工具

ARP病毒专杀工具,ARP病毒入侵原理和解决方案 【故障原因】 局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。 【故障原理】 要了解故障原理，我们先来了解一下ARP协议。 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。 主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP 缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D 能够接收到A发送的数据包了么，嗅探成功。 A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C 连接不上了。D对接收到A发送给C的数据包可没有转交给C。 做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。

局域网ARP病毒专杀工具以及ARP病毒入侵原理和解决方案

【局域网ARP病毒专杀工具以及ARP病毒入侵原理和解决方案 由于我使用校园网上网，所以在宿舍中常遇到掉线、断网、连接不了服务器的现象。 很多同学都对此抱怨不止。于是，我在网上查到的相关资料，是有关ARP掉线的研究，拿来和大家分享下。 中招现象：掉线。 解决ARP攻击的方法： 【故障原因】 局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。 【故障原理】 要了解故障原理，我们先来了解一下ARP协议。 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC 地址是一一对应的，如下表所示。 主机 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP 缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易

局域网中了arp病毒怎么办

局域网中了arp病毒怎么办 局域网中了arp病毒怎么办？ arp 病毒的症状 有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误;局域网内的arp 包爆增，使用arp 查询的时候会发现不正常的mac 地址，或者是错误的mac 地址对应，还有就是一个mac 地址对应多个ip 的情况也会有出现。 arp 攻击的原理 arp 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和arp 数据包的协议地址不匹配。或者，arp数据包的发送和目标地址不在自己网络网卡mac 数据库内，或者与自己网络mac 数据库mac/ip 不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、p2p 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。 处理办法

通用的处理流程：1 .先保证网络正常运行方法一：编辑个***.bat 文件内容如下：arp.exe s**.**.**.**(网关ip) ************(网关mac 地址)end让网络用户点击就可以了!办法二：编辑一个注册表问题，键值如下：windows registry editor version 5.0[hkey_local_machine\software\microsoft\windows\curren tversion\run]“mac“=“arp s网关ip 地址网关mac 地址“然后保存成reg 文件以后在每个客户端上点击导入注册表。 找到感染arp 病毒的机器。a：在电脑上ping 一下网关的ip 地址，然后使用arp -a 的命令看得到的网关对应的mac 地址是否与实际情况相符，如不符，可去查找与该mac 地址对应的电脑。b：使用抓包工具，分析所得到的arp 数据报。有些arp 病毒是会把通往网关的路径指向自己，有些是发出虚假arp 回应包来混淆网络通信。第一种处理比较容易，第二种处理比较难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。c：使用mac 地址扫描工具，nbtscan 扫描全网段ip 地址和mac 地址对应表，有助于判断感染arp 病毒对应mac 地址和ip 地址。

arp病毒的介绍

ARP病毒攻击技术分析与防御 一、ARP Spoofing攻击原理分析 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle”进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。 每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。高速缓存中的每一条记录（条目）的生存时间一般为20分钟，起始时间从被创建时开始算起。 默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP 应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD （C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。 当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。 Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下下面交换机中日志所示： Internet 172.20.156.1 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.5 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.254 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.53 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.33 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.13 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.15 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.14 0 000b.cd85.a193 ARPA Vlan256 二、ARP病毒分析 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。 在路由器的“系统历史记录”中看到大量如下的信息：

arp病毒查杀方案

如何查杀局域网内的arp病毒 故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。故障原因：这是APR病毒欺骗攻击造成的。引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。临时处理对策：步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS 窗口下运行以下命令：arp –s 网关IP 网关MAC 例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后输出如下： C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中 00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。手工绑定的命令为：arp –s 218.197.192.254 00-01-02-03-04-05 绑定完，可再用arp –a查看arp缓存，C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。NBTSCAN的使用方法：下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到 c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令：nbtscan -r 218.197.192.0/24 （假设本机所处的网段是218.197.192，掩码是255.255.255.0；实际使用该命令时，应将斜体字部分改为正确的网段）。注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。补充一下：Anti ARP Sniffer 使用说明一、功能说明: 使用Anti ARP Sniffer 可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。二、使用说明：1、ARP欺骗：填入网关IP地址，点击〔获取网关mac地址〕将会显示出网

ARP病毒的原理和防御方法

ARP攻击型病毒的原理和防御方法初探 作者简介 崔佩龙（1983- ），男，山西长治人，助理工程师，从事计算机软件开发等工作。 任俊明（1983- ），男，山西长治人，助理工程师，从事计算机网络建设与维护等工作。 摘要介绍了计算机网络中存在的ARP攻击型病毒的成因及危害，提出了相应的防御方法。 关键词网络ARP病毒 引言: 随着计算机网络在人们的生产和生活中日益普及,网络上的病毒种类也呈现出爆炸式增长的趋势,各种新型病毒不但传播速度越来越快，攻击时间差也越来越短，网络上存在的各种病毒编写工具甚至源代码也大大提升了病毒编制者的能力及效率，使很多上网的一般用户难以提防，大大影响了正常的工作和学习，造成难以估量的影响。本文所讨论的ARP攻击型病毒是以攻击网络通信设备为过程,以盗取用户信息为目的的一种病毒,同时本文针对它的表现进行了分析并提出一些防御措施。 一、ARP攻击型病毒定义 ARP攻击型病毒（以下简称ARP攻击型病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制，但是发作的时候会向全网发送伪造的ARP数据包或引起全网生成ARP广播风暴，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。 二、ARP攻击型病毒发作时的现象 网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有计算机不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。 三、ARP攻击型病毒运行原理 3.1 网络模型简介 众所周知，按照OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能，如图1：

发现局域网arp病毒-winrsc.exe及处理

近日，发现一个局域网arp木马病毒 我所遇到的病毒引发的症状： 1.中毒机器无法访问网络，包括公司OA、FTP等，但是使用ping命令一切正常 2.中毒的机器一体机驱动被破坏，并无法重新安装打印机、一体机驱动 3.中毒的机器的注册表编辑器和任务管理器被禁用 4.生成隐藏的系统属性文件，分别是C:\Windows\system\winrsc.exe； C:\Windows\system32\drivers\sysdrv32.sys 5.局域网局部或者全部不能访问网络，我遇到的幸好只有部分几台无法访问网络 6.winrsc.exe会开启445端口，对局域网网段内所有地址遍历发送远程连接请求，估 计如果连接建立后，就会发动攻击，另外，估计一个网段完了后会遍历到下一个网 段，如图 另外，在网上查了下，此病毒可能还引起一些症状：经常死机；生成隐藏文件C:\Windows\system\svhost.exe（注意文件修改日期），描述的这个文件的功能跟winrsc.exe一样，并在注册表中创建相关启动项；系统文件夹下，生成一个或多个??.scr 文件（注：“.scr”一般为屏幕保护程序文件），其中“??”为两位数字（我遇到的情况也包含这） 处理方法： 重启，安全模式，用administrator登陆，因病毒只禁用当时登录用户的注册表和任务管理器，所以administrator用户里可以打开注册表。因开机就会出现症状，故启动项里肯定有，进入，果然，表项“Windows System Monitor”，键值“C:\windows\system\winrsc.exe”，二话不说，删了。再搜索一下其他地方，发现真有， HKLM\system\controlset001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\A uthorizedApplications\List 下， 表项“C:\windows\system\winrsc.exe”， 键值“C:\windows\system\winrsc.exe：*：Microsoft Enabled”， 表项“C:\windows\system32\??.scr”（其中“??”为两位数字，这个表项可能有多个）

Cisco和H3C交换设备 ARP病毒快速解决办法

Cisco和H3C交换设备ARP病毒快速解决办 法2010-9-11 09:57阅读(548)转载自清凉小菠菜 ?赞 ?评论(2) ?转载(74) ?分享(12) ?复制地址 ?收藏夹按钮收藏 ?更多 上一篇 | 下一篇：广州Tech陈SIR主... Cisco交换机： 在中心交换机上show logging 发现如下日志 Apr 18 10:24:16.265: %IP-4-DUPADDR: Duplicate address 172.30.30.62 on Vlan711, sourced by 0009.6b 2、执行conf t，mac-address static mac地址 vlan id drop； 3、对有ARP病毒的主机进行了处理，然后在中心交换机上执行 no mac-address static mac地址 vlan id drop,使主机能访问网络资源. 4.问题解决 H3C交换机： Dis log发现如下信息： %Apr 30 07:43:18:753 2000 Longjing ARP/3/DUPIFIP:Duplicate address 192.168.1.1 o n interface Vlan-interface101, sourced by 001b-b970-266d dis mac-address 0016-e67c-7c9f 发现该mac是从g1/0/4上来的 进入该接口： interface GigabitEthernet1/0/4 mac-address blackhole 001b-b970-266d vlan 101 然后找到该机器拔除网线杀毒，然后再取消该接口下的限制 interface GigabitEthernet1/0/4 undo mac-address blackhole 001b-b970-266d vlan 101

arp病毒的处理

你如何清除局域网中的ARP病毒... 现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰.下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料. ARP病毒的症状 有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP 查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。 ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现

网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。 处理办法 通用的处理流程 1.先保证网络正常运行 方法一：编辑一个***.bat文件内容如下： arp.exe s**.**.**.**（网关ip）************（网关MAC地址）end 让网络用户点击就可以了! 办法二：编辑一个注册表问题，键值如下： Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Run]"MAC"="arp s网关IP地址网关MAC地址"