&主题：有没有网络管理方面的牛人？求个助，关于局域网ARP攻击的！
泡网分: 7.742
帖子: 2577
注册: 2010年05月
快要被这玩意儿搞死了，公司20多台电脑疯狂掉线，几乎没法工作！
杀毒查木马路由禁MAC地址都试了，完全无效！就像个幽灵似的！
除了拔网线一台一台试之外，有没有什么软的方法可以查到源头？
怎样才能从根本上杀掉这种木马软件？
顺便问候一下制作这个软件的全家！
作者相关热贴：
&浏览：790&&回帖：28 &&
泡网分: 41.385
帖子: 6374
注册: 2004年02月
colormonkey 发表于
现在还会有ARP。。。。
每台机器上都装上防火墙不就得了。
现在一般防火墙都带ARP防火墙。防的了白鼠 防不了饿狼
他发包太多 一来搞梃路由 二来大量占用交换机资源
路由设规则最多也就是让他不去处理这些包 但是还是需要接收然后分辨的
他自己太忙 搞的交换机忙不过来 于是大家还是得歇菜
要是那个变态自己换个MAC号 按图索骥也不好找
还是挨个口看灯闪的情况吧。。。
泡网分: 41.385
帖子: 6374
注册: 2004年02月
中毒的机器配置太高 把交换机搞瘫了
给他换个286就好了
泡网分: 0.025
注册: 2008年08月
现在还会有ARP。。。。
每台机器上都装上防火墙不就得了。
现在一般防火墙都带ARP防火墙。
泡网分: 32.309
帖子: 8287
注册: 2003年04月
别折腾了，老老实实一台一台查木马杀毒。
本帖由移动终端发布
泡网分: 25.462
注册: 2004年01月
1、查看交换机每个端口流量
2、可疑端口镜像，
3、抓包分析。
泡网分: 23.467
注册: 2004年04月
思科交换机可以在接口做动态ARP检查，H3C也有类似的功能，但华为的方式记不太清楚了
2个机制，一是可以利用DHCP-Snooping形成的MAC-IP表（手工写的MAC-IP-接口绑定也可以）来关联接口，当接口收到不属于此接口关联主机MAC的错误（恶意）ARP请求或者回复时，拦截，报警，丢弃这些错误的ARP；
二是在接口默认有收到ARP的速率，默认应该是15个每秒，可以手工修改，超过这个值，端口就自杀，关闭
另外，交换环境中，广播帧（包括ARP）多不一定全是P2P终结者之类的垃圾软件的错。先检查下自己的交换环境是不是可能有环路，生成树协议还是建议开着
泡网分: 39.2
帖子: 6939
注册: 2003年11月
WellerPhoto 发表于
今天用lanhelper扫描了一下所有ip，然后又人工把所有机器的网卡MAC地址都记录了下来，发现有一台电脑的MAC地址没有出现在lanhelper的扫描结果中，是否这台电脑就是ARP攻击的源头？你用的是什么网络设备把20多个用户连起来的?如果你的是低端设备,首先你要检查交换机是否有环路(一根网线连了同一个设备的两个网口),如果是高端设备,直接登上交换机检查端口MAC地址,ip-arp表就可以轻易找到那台机器.
你说的这台可疑mac地址机器,如果它本身上网是正常的,就说明它可能在底层伪装成了别的MAC,可以断开试试
泡网分: 19.117
帖子: 2058
注册: 2007年01月
WellerPhoto 发表于
有，那个MAC地址是路由器的，所以不准。网关被欺骗了。前面说过了，去网关上查arp列表。
泡网分: 7.742
帖子: 2577
注册: 2010年05月
wholdtree 发表于
假设这个软件工作正常，它的日志里没有arp攻击发起端的mac?有，那个MAC地址是路由器的，所以不准。
泡网分: 19.117
帖子: 2058
注册: 2007年01月
WellerPhoto 发表于
我装了antiarp，那警报是一直都在啊。
请问要怎样才能查出源头来？
现在真是恨死这个病毒了！假设这个软件工作正常，它的日志里没有arp攻击发起端的mac?
泡网分: 7.742
帖子: 2577
注册: 2010年05月
wholdtree 发表于
Arp攻击发作的时候才好查。我装了antiarp，那警报是一直都在啊。
请问要怎样才能查出源头来？
现在真是恨死这个病毒了！
泡网分: 19.117
帖子: 2058
注册: 2007年01月
Arp攻击发作的时候才好查。
泡网分: 19.117
帖子: 2058
注册: 2007年01月
WellerPhoto 发表于
今天用lanhelper扫描了一下所有ip，然后又人工把所有机器的网卡MAC地址都记录了下来，发现有一台电脑的MAC地址没有出现在lanhelper的扫描结果中，是否这台电脑就是ARP攻击的源头？这个不能算证据
泡网分: 19.117
帖子: 2058
注册: 2007年01月
lwsg1987 发表于
路由器使用PPPOE登陆 好用 比绑什么MAC靠谱多了
因为MAC是可以伪装的！用不用寻址的pppoe连接网关，这是个预防arp攻击的好方法。
泡网分: 7.742
帖子: 2577
注册: 2010年05月
今天用lanhelper扫描了一下所有ip，然后又人工把所有机器的网卡MAC地址都记录了下来，发现有一台电脑的MAC地址没有出现在lanhelper的扫描结果中，是否这台电脑就是ARP攻击的源头？
泡网分: 19.117
帖子: 2058
注册: 2007年01月
WellerPhoto 发表于
快要被这玩意儿搞死了，公司20多台电脑疯狂掉线，几乎没法工作！
杀毒查木马路由禁MAC地址都试了，完全无效！就像个幽灵似的！
除了拔网线一台一台试之外，有没有什么软的方法可以查到源头？
怎样才能从根本上杀掉这种木马软件？
顺便问候一下制作这个软件的全家！网关和客户端做双向arp绑定。
想找中毒的机器在网关上查arp列表，大量重复的mac一般就是中毒的电脑。在客户端arp -a查找和网关同ip而mac不同的。
泡网分: 31.221
帖子: 2087
注册: 2003年02月
没有就是 发表于
arp -a不就看到了吗？
和网关IP一样MAC不一样的那个MAC地址就是攻击源，登上交换机看看这个MAC在哪个端口，shutdown想得简单了点，不一定是网关IP的
泡网分: 43.981
精华: 2帖子: 1747
注册: 2001年02月
CISSP, CISM, CISA的飘过......
终端控制任重而道远......
泡网分: 17.274
帖子: 2035
注册: 2007年12月
当你的正常电脑无法与其他电脑正常通信的时候，你会发现总有一台电脑是和你可以正常通信的，那就是毒源
很多时候不是有人有意为之，很可能是该电脑中毒了
泡网分: 7.647
帖子: 1290
注册: 2009年12月
最近俺也被搞疯了，明知道是谁搞得还不能明着说（国企水深），能接触到总机，但是想整的都不知道路由器密码。
同样问候软件破解者全家女性
好好软件拿来有偿做企业管理无可厚非，
免费破解出来就是害人
泡网分: 2.845
注册: 2011年01月
路由器使用PPPOE登陆 好用 比绑什么MAC靠谱多了
因为MAC是可以伪装的！
泡网分: 39.2
帖子: 6939
注册: 2003年11月
arp -a不就看到了吗？
和网关IP一样MAC不一样的那个MAC地址就是攻击源，登上交换机看看这个MAC在哪个端口，shutdown
泡网分: 31.221
帖子: 2087
注册: 2003年02月
我也被这东西折腾了2-3回，烦死了。
有个笨办法，看交换机那个端口指示灯闪动过快，就拔掉试试看。
还有在一台电脑上安装ARP监测软件，看是那个ip或mac地址发的数据包，然后在交换机里查到端口。
泡网分: 11.785
帖子: 1990
注册: 2008年10月
ethereal or wireshark ?
泡网分: 9.287
注册: 2009年04月
路由器和电脑上互绑MAC，其他效果都很差...
泡网分: 7.742
帖子: 2577
注册: 2010年05月
yifanker 发表于
在路由器里启用ARP防护，这个最有效
给每个电脑上启用ARP防火墙，常见的安全软件多数有这个功能嗯，已经打开了360的ARP防护，现在上网是正常了。
主要是想找到那些源头机器，不然真不解恨！
泡网分: 13.498
注册: 2007年12月
貌似防火墙软件有防arp攻击的功能吧
泡网分: 24.971
帖子: 7223
注册: 2008年04月
在路由器里启用ARP防护，这个最有效
给每个电脑上启用ARP防火墙，常见的安全软件多数有这个功能
&版权所有：&&桂ICP备号&增值电信业务经营许可证局域网收到ARP攻击应该怎么防御_防火墙知识
局域网收到ARP攻击应该怎么防御
【防火墙知识】 学习啦编辑：晓斌
本文已影响 人
　　ARP攻击如何检测并拦截呢?当局域网受到ARP攻击时，会导致频繁断网，无法正常上网等情况。对应的解决方法，我们可以通过检测来确保ARP攻击源，以便采取必要的隔离措施。下面就是学习啦小编为大家推荐的具体实现方法。
　　方法/步骤
　　1局域网ARP攻击检测方法：
　　如何判断局域网中是否存在ARP攻击呢?对此我们创建一个文本文件，输入以下内容，其中&192.168.1.1&代表网关()IP地址。
　　@echo off
　　arp -d
　　SET LX-T1=ping 127.0.0.1 -n
　　%LX-T1% 2 & nul
　　goto Goon
　　2接着将此文件的后辍修改成&bat&(批处理格式)，双击运行，使程序不断清空ARP缓存表，并持续请求百度网页。
　　3接下来我们需要下载一款名为&windump&的数据包分析工具。直接在百度中搜索下载。解压并进入&Windump&目录，按住上的&Shift&键的同时，右击目录空白处，从其右键菜单中选择&在此处打开命名窗口&项。
　　4从打开的MSDOS界面中，输入&windump -D&命令查看网卡编码，以实现对特定网卡(即本机网卡)的监控操作。
　　5接着根据所显示的网卡编号，输入命令&windump -i 2 -n arp and host 192.168.1.1 &&d:\ARP-Test.log&并按回车，以监视指定网卡。
　　6等待一会儿，打开指定磁盘中的&ARP-test.log&文件，通过查看其中的MAC地址是否变化来判断当前局域网中是否存在ARP攻击。如有变化，且不是路由器网关MAC地址，则可以说明局域网存在ARP攻击。
　　7局域网ARP攻击拦截方法：
　　在百度中搜索下载&聚生网管&工具，利用此工具可以拦截ARP攻击。
　　8安装并运行此&聚生网管&程序，在其主界面中点击&安全防御&-&安全检测工具&。如图所示：
　　9从打开的&安全检测工具&界面中，勾选&启用局域网ARP攻击防御功能&，同时勾选其它的三项内容，点击&保存设置&按钮，就可以有效防止ARP攻击啦。如图所示：
　　10同时我们可以点击&局域网攻击检测&栏目中的&开始检测&按钮，来检测并定位局域网ARP攻击源。
　　11还有一种方法，就是利用&360安全卫士&-&流量&来拦截ARP攻击。如图所示，开启&ARP防御功能&。
　　12当局域网中存在ARP攻击时，&360ARP防火墙&将自动显示ARP攻击信息，其中还包括ARP攻击源，以便进行追踪。
[局域网收到ARP攻击应该怎么防御]相关的文章
看过本文的人还看了
691人看了觉得好
1604人看了觉得好
719人看了觉得好
【防火墙知识】图文推荐
Copyright & 2006 -
All Rights Reserved
学习啦 版权所有我的电脑遭受到局域网ARP病毒的攻击，我现在只能防护，怎么把这ARP病毒杀死？？？？_百度知道
我的电脑遭受到局域网ARP病毒的攻击，我现在只能防护，怎么把这ARP病毒杀死？？？？
一会换成联通的。并且无论用哪个浏览器，IP地址和网络上其他部分系统有冲突，都是不同的，都要把CPU占用到90%以上，360安全卫士也提示遭到一次又一次的ARP病毒攻击。而且右下角任务栏经常提示Windows系统错误而且我本来是电信的IP地址，IP换了好几个了。我用ARP防火墙经常提示又不被信任的路由数据。求高手解决这问题，中毒之后也不停在变换
提问者采纳
好，这情况应当是你局域网中其它电脑中了ARP病毒了，这情况个人建议你按360提示的MAC地址，找到那台中毒的电脑清理那台电脑的病毒就可以了
来自团队：
其他类似问题
在开始--运行中。 针对这种情况瑞星公司提供以下解决办法，并按照一定的频率不断进行，通过命令行窗口输入“arp -a”命令，造成正常PC无法收到信息，该种攻击截获网关数据，发送arp包欺骗别的客户端、在收到ARP欺骗的本机，将该MAC记录（以备查找）；另一种是对内网PC的网关欺骗，进入ms-dos，使用杀毒软件进行清查，结果路由器的所有数据只能发送给错误的MAC地址、借助第三方抓包工具（如sniffer或antiarp）查找局域网中发arp包最多的IP地址。造成arp欺骗的病毒，仿冒网关的mac地址，然后根据此MAC找出中病毒的计算机：一种是对路由器ARP表的欺骗，让被它欺骗的PC向假网关发数据：方法一。会发现该MAC已经被替换成攻击机器的MAC，导致上网时断时通或上不了网ARP欺骗方式共分为两种，也可判断出中病毒计算机，使真实的地址信息无法通过更新保存在路由器中，其实是普通的病毒，是可以彻底解决的，只要判断出发包源，输入“cmd”，而不是通过正常的路由器途径上网。方法二。通知路由器一系列错误的内网MAC地址，查看ARP列表，造成上网时断时通或上不了网
主营：电脑 网络 安全 虚拟化 反病毒 杀毒软件 防火墙 防毒墙 信息安全
为您推荐：
其他5条回答
反ARP攻击的绝招，让你在ARP的炮雨攻击下永不掉线
你的局域网经常掉线吗？你受过ARP攻击吗？出现过烦人的IP冲突吗？如果有，或者以防后患，请看下文，教你反ARP攻击的绝招，让你在ARP的炮雨攻击下永不掉线。
所遇情况：
第一。局域网中经常有人用网络执法官、剪刀手等工具限制其他人上网，虽然有反网络执法官等软件，但是用起来甚是不爽啊！
第二。局域网中有人中了病毒，自动发送大量ARP攻击到局域网中。
ARP协议是windows网络中查找IP和网卡的基础。所以不能绕开它。所有的防御ARP攻击的方法，都必须许可ARP协议。以致目前用着还算可以的网络工具比如360安全卫士，都只能监测到攻击信息，却奈何不了他什么。
具体方法：
解决ARP攻击最根本的办法只有一个－－－－－建虚拟网卡。可...
朋友你可以根据攻击你的IP地址找到中病毒的机器，然后对那台中病毒的电脑断网后进行杀毒，这样可以从源头上解决问题。
病毒安营扎寨兴风作浪 安装杀毒软件芬杀客 小心驶得万年船
首先打开路由器设置 然后断开网络 重新设置路由器 查询哪个IP不正常 加入黑名单
然后再用杀毒软件扫描 再打开路由器 试下.
下个ARP防火墙试试
arp病毒的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁如何快速找出ARP攻击源头&中毒主机
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。