網路安全檢測arp攻擊

『壹』 電腦顯示ARP攻擊是怎麼回事

近期國內很多單位和學校的區域網爆發一種新的「ARP欺騙」木馬病毒（Address Resolution Protocol 地址解析協議），病毒發作時其症狀表現為計算機網路連接正常，能登陸成功卻無法打開網頁；或由於ARP欺騙的木馬程序（病毒）發作時發出大量的數據包，導致網路運行不穩定，頻繁斷網、 IE 瀏覽器頻繁出錯以及一些常用軟體出現故障等問題，極大地影響了校園網用戶的正常使用。為了保證校園網路的安全暢通，現將有關事項公告如下:
一、故障現象及原因分析
情況一、當區域網內某台主機感染了ARP病毒時，會向本區域網內（指某一網段，比如：59.74.0.0這一段）所有主機發送ARP欺騙攻擊，讓原本流向網路中心的流量改道流向病毒主機，並通過病毒主機代理上網。因客戶端具有防代理功能，造成受害者無法通過病毒主機上網。由於病毒發作時發出大量數據包會將網路擁塞，大家會感覺上網速度越來越慢。中毒者同樣如此，受其自身處理能力的限制，感覺運行速度很慢時，可能會採取重新啟動或其他措施。此時病毒短時間停止工作，大家會感到網路恢復正常。如此反復，就造成網路時斷時續。
情況二、區域網內有某些用戶使用了ARP欺騙程序（如：網路執法官、網路剪刀手、傳奇木馬、QQ盜號軟體等）發送ARP欺騙數據包，致使被攻擊的電腦出現突然不能上網，過一段時間又能上網，反復掉線的現象。
二、故障診斷
如果用戶發現以上疑似情況，可以通過如下操作進行診斷：點擊"開始"按鈕->選擇"運行"->輸入"arp -d"->點擊"確定"按鈕，然後重新嘗試上網，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。
註："arp -d"命令用於清除並重建本機arp表。"arp -d"命令並不能抵禦ARP欺騙，執行後仍有可能再次遭受ARP攻擊。

三、故障處理
1、中毒者：ARP病毒專殺工具下載 1.96MB （務必下載安裝後查殺）；
2、受害者：下載Anti ARP Sniffer軟體 1.84MB 保護本地計算機正常運行
輸入網關地址（點擊「開始」，「運行」，在窗口中輸入「cmd」,點「確定」，調出「命令提示符」。輸入並執行以下命令：ipconfig /all，「Default Gateway」後面對應的值就是用戶所在子網的網關地址！）點擊「枚取MAC地址」，點擊「自動保護」保證當前網卡與網關的通信不被第三方監聽，最後選中「開機自動運行軟體」 即完成了軟體設置工作！
3、如運行AntiArp程序仍無效果，可下載系統補丁以作嘗試：
WINXP系統ARP病毒補丁 2KBWIN2000系統ARP病毒補丁 30.8MB

四、入網日常安全守則
1、校園網並不比互聯網安全。校園網是互聯網的組成部分。校園網內用戶並非全部安全可靠，甚至依仗內網的速度優勢，校園網更容易成為病毒傳播的溫床，也給攻擊你的駭客帶來便利。
2、設置足夠強勁的密碼。脆弱的密碼是給別人開設的方便之門。正在用電腦的也許不只是坐在顯示器前的您。
3、及時更新操作系統補丁、安裝可靠的殺毒軟體並及時更新病毒庫。（補丁就是操作系統的疫苗，打一個就防一種威脅，打得越全越安全。）
校園網推薦用戶使用Mcafee VirusScan Enterprise 8.0i
注意：目前國內主流的計算機防毒軟體只能避免自己電腦主機感染ARP病毒，但無法抵禦同網段其它已感染ARP病毒的計算機的病毒攻擊。
4、要增強網路安全意識，培養良好的使用習慣。不要輕易下載、使用不了解和存在安全隱患的軟體；或瀏覽一些缺乏可信度的網站（網頁），以免個人計算機受到木馬病毒的侵入給校園網的安全帶來隱患。絕對的匿名是不可能實現的, 無論是在真實的生活中還是在WEB上。
5、網路安全靠大家。校園網是公共服務設施，保障網路安全不僅是網路中心的工作，更是每位網路用戶應盡的義務。只有依靠大家群策群力、群防群治，網路才能長治久安。

五、管理措施
此類ARP攻擊雖危害巨大，但由於攻擊范圍僅限本網段而難以監控，請廣大用戶積極配合，及時將有關情況通告網路中心（聯系電話82201492，82205304轉6616）。一旦確認攻擊源，無論是無意中毒還是有意攻擊，網路中心將先封閉其交換機埠，待病毒清除後再行解封。

『貳』 電腦受到ARP攻擊，這是什麼情況啊

區域網ARP攻擊行為，首先需要開啟Windows自帶的防火牆功能。如圖所示，在」運行「窗口中輸入」services.msc「打開。

『叄』 詳解:如何檢測區域網內是否有arp病毒

如何檢測區域網內是否有 arp 病毒想更好防護 arp 病毒，最好迚行 mac 地址和 ip 地址的綁定！ 如 何檢測區域網內是否有 arp 病毒 關於區域網內 ARP 病毒的本機檢測 方法和檢測工具 病毒發作症狀：計算機網路連接正常，能 PING 通 樓內機器卻無法 PING 通網關、無法打開網頁；戒由於 ARP 欺騙的 木馬程序（病毒）發作時發出大量的數據包，導致網路運行丌穩定， 頻繁斷網、 IE 瀏覽器頻繁出錯以及一些常用軟體出現故障等問題。 網路中斷原因：當區域網內某台主機感染了 ARP 病毒時，會向本局 域網內 （指某一網段， 比如： 172.16.24.0 這一段） 所有主機發送 ARP 欺騙攻擊，讓原本流向網路中心的流量改道流向病毒主機，並通過病 毒主機代理上網。因客戶端具有防代理功能，造成受害者無法通過病 毒主機上網。 由於病毒發作時發出大量數據包會將網路擁塞，大家 會感覺上網速度越來越慢。中毒者同樣如此，受其自身處理能力的限 制，感覺運行速度很慢時，可能會採取重新啟動戒其他措施。此時病 毒短時間停止工作，大家會感到網路恢復正常。如此反復，就造成網 絡時斷時續。 故障診斷辦法：如果用戶發現以上疑似情冴，可以通 過如下操作迚行診斷：點擊開始按鈕-選擇運行-輸入arp -d-點擊確定按鈕，然後重新嘗試上網，如果能恢復正常則說明 此次掉線可能是受 ARP 欺騙所致。 （arp -d命令用於清除並重建本 機 arp 表並丌能抵禦 ARP 欺騙， 執行後仍有可能再次遭受 ARP 攻擊。 ） 本網檢測工具：下載並運行 AntiArp 程序。輸入本網段的網關 ip 地址後，點擊獲取網關 MAC 地址，檢查網關 IP 地址和 MAC 地址無 誤後，點擊自動保護。若丌知道網關 IP 地址，可通過以下操作獲 取：點擊開始按鈕-選擇運行-輸入cmd點擊確定-輸入ipconfig按回車，Default Gateway後的 IP 地址就是網關地址。 AntiArp 軟體會在提示框內出現病毒主機的 MAC 地址。 本機查殺 工具：下載並運行 TSC.EXE 程序。運行過程中丌要關讓它一直運行 到自動關閉，最後查看 report 文檔便知是否中毒。若中毒則建議重 新安裝操作系統。 另：還有個最簡易的辦法，安裝 金山衛士， 一定要開啟 金山ARP 防火牆功能，這方面我就丌多說了，自己看下 應該就會;還可以在安裝金山毒霸、瑞星殺毒等殺毒軟體的時候，選擇 arp 防護開啟 功能！ 一、AntiARP-DNS [主程序] 它包括了對 ARP 和 DNS 欺騙 攻擊的實時監控和防禦， 受到攻擊時會迅速記錄追蹤攻擊者並且控制 攻擊的程度至最低。 能有效防止區域網內的非法 ARP 戒 DNS 欺騙攻 擊，特別是運用於校園網路中。它還能解決被人攻擊之後出現逗IP 沖突地的煩人提示框。如果您的機器是中了 ARP 類病毒，請先下載 專殺工具來解決，本程序只做輔助使用。(強制反 ARP 欺騙，請參考 官方相關文章。) 二、IP-Mac Scan [輔助掃描程序] 它用於區域網 內批量 IP 對應的真實 MAC 迚行掃描， 確保得到准確 MAC 信息。

『肆』 路由檢測到ARP攻擊

ARP攻擊分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。第一種ARP攻擊的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，並按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP攻擊的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，「網路掉線了」。常用的解決辦法就是：一、在寬頻路由器中把所有PC的IP-MAC輸入到一個靜態表中，這叫路由器IP-MAC綁定。二、在內網所有PC上設置網關的靜態ARP信息，這叫PC機IP-MAC綁定。三是前兩種辦法的組合，稱其為IP-MAC雙向綁定。方法是有效的，但工作很繁瑣，管理很麻煩。每台PC綁定本來就費力，在路由器中添加、維護、管理那麼長長的一串列表，更是苦不堪言。一旦將來擴容調整，或更換網卡，又很容易由於疏忽造成混亂。況且ARP出現了新變種，二代ARP攻擊已經具有自動傳播能力，已有的宏文件綁定方式已經被破，主要表現在病毒通過網路訪問或是主機間的訪問互相傳播。由於病毒已經感染到電腦主機，可以輕而易舉的清除掉客戶機電腦上的ARP靜態綁定，伴隨著綁定的取消，錯誤的網關IP和MAC的對應並可以順利的寫到客戶機電腦，錯誤的網關IP和MAC的對應並可以順利的寫到客戶機電腦，ARP的攻擊又暢通無阻了。 我也曾受過arp的毒害，辛辛苦苦做的雙向綁定遇到二代arp攻擊變的是無所遁形，我覺得要想真正的杜絕arp攻擊還是要我們內網每台電腦都聯動起來，共同防範，共同抑制，光裝防arp攻擊的防火牆是遠遠不夠的，這只能保證你可能不被攻擊，但不能杜絕你不發arp攻擊，這樣是治標不治本的，因此要想真正杜絕arp最治本的方法還是從源頭抑制，即從每個終端上抑制arp攻擊的發出，因此要想完全的杜絕arp攻擊要靠軟硬體的結合，單靠硬體是無法實現的。後來是用「免疫牆」解決的，這個免疫牆技術專門針對內網病毒攻擊的。你可以去試試。

『伍』 如何檢測ARP是否被攻擊

區域網ARP攻擊的檢測方法：打開「運行」窗口，輸入「CMD」進入MSDOS界面。

在打開的「MSDOS」界面中，輸入「arp -a」查看arp列表，其中如果存在多條與網關IP相對應的MAC地址時，表明區域網存在ARP攻擊。

此外，我們還可以通過許多軟體來檢測區域網ARP攻擊，例如「聚生網管」軟體，直接在網路中搜索來獲取下載地址。

運行「聚生網管」軟體，在其主界面中點擊「安全防禦」-「安全檢測工具」項進入。

在打開的「安全檢測工具」界面中，點擊「區域網攻擊檢測工具 開始檢測」按鈕。

並在彈出的窗口中點擊「開始檢測」按鈕，並在彈出的窗口中點擊「是」按鈕，即可自動檢測區域網中的攻擊源並列表。

對於區域網ARP攻擊，有效的防護措施是利用ARP綁定，將網關IP和其Mac地址進行綁定即可。這可以利用「360流量防火牆」來實現。或者利用「聚生網管」跌「安全防禦」-》「IP和MAC綁定」項來實現。

『陸』 電腦總是受到ARP攻擊怎麼辦

電腦遭受ARP斷網攻擊怎麼辦?
ARP協議是地址解析協議的縮寫。ARP協議用於把IP地址解析成LAN硬體使用的MAC地址。IP數據包常通過乙太網發送，但乙太網設備並不識別32位IP地址，它們是以48位乙太網地址傳輸乙太網數據包。因此，必須把IP目的地址轉換成乙太網目的地址。
一、原因
根據實際經驗，這個問題無非有兩種情況!
1、電腦中了ARP病毒，這種感覺病毒傳播速度很快，一般區域網內有一台中毒，其它也很難倖免，所以要找到ARP攻擊主機!如果有一天你的電腦老掉線或極慢，就要考慮你的電腦是否也感染了病毒!
2、區域網內內有人使用了類似P2P技術的軟體，來搶了你的流量，這個問題你就要找和你用一根網線的用戶談談了!
二、系統自帶防禦--防禦等級★★
1、 開啟系統自帶的防火牆，其實系統自帶的防火牆也能應付一般性ARP攻擊的!但很少人用。首先點擊開始菜單，進入控制面板!
2、在控制面板頁面選擇「系統與安全」選項進入。
3、在系統與安全界面選擇進入windows防火牆下面的檢查防火牆狀態!
4、 在windows防火牆狀態頁面，點擊右側菜單的「打開或關閉windows防火牆」!
5、在開關防火牆頁面，將所有網路環境下的防火牆開啟!
三、360防火牆--防禦等級★★★★
1、其實我們電腦上常用的360安全衛士也能應付一般性難度的ARP攻擊，只是需要我們開啟設置，首先進入360安全衛士主頁面，點擊右側的功能大全--更多!
2、在功能大全頁面，點擊流量防火牆，沒有的可以在下方列表中自行添加!
3、 啟動流量防火牆後點擊，點擊區域網防護菜單，在此頁面打開「區域網ARP保護」開關。
四、專業ARP防火牆--防禦等級★★★★★
1、如果上述方法都解決不了的話，那隻能使用專業的彩影ARP防火牆軟體了，它可以直接追蹤主機詳細情況，替你徹底解決問題!注意這個軟體單擊個人版是可以免費使用的!直接網路搜索彩影ARP防火牆即可找到下載鏈接!下載後直接安裝即可!
2、啟動軟體，可以自動監控，至於設置方面，都很容易上手的!如果希望關閉報警提示，具體方法：在工具欄點高級參數設置--「報警」 將裡面的三個復選框的勾都去掉即可，然後點擊確定按鈕!
3、在選項里的網路流量分析可以很容易找到攻擊的源頭!其它設置我們基本使用默認就可以了!
4、至於高級參數設置選擇」始終啟用 「，輸入40。

『柒』 ARP區域網攻擊是什麼意思

目前信息網路問題頻出，掉線、網速慢、內網伺服器訪問緩慢等，統計數據表明，網路問題80%是內網攻擊引起的，其中ARP攻擊導致的各種網路問題，業已成為最頭疼的問題，ARP也一躍成為網路圈裡最耳熟能詳的名詞之一。 首先澄清一點，ARP不是病毒，而是一種「協議性攻擊行為」，只所以稱之為病毒，是因為目前ARP攻擊工具的傳播方式與發作現象已經愈來愈接近病毒。ARP（地址解釋協議）是網路通信協議中的不可缺少的關鍵協議，它是負責將IP地址轉換為對應MAC地址的協議。ARP的存在給了好事者可趁之機，但如果缺少了ARP協議，網路設備之間將無法進行通訊，這是為什麼對ARP投鼠忌器的主要原因。

ARP病毒可分為兩種，一種是ARP欺騙，一種是ARP攻擊。ARP欺騙最先是黑客們偷盜網路賬號使用的，後來被廣泛用於類似網路崗、網路執法官之類的網路管理工具，被騙主機會將數據發送給偽裝的主機，從而達到截獲數據的目的。而ARP攻擊純粹是以破壞網路通訊為主要目的，發送虛假的ARP請求包或應答包，使得網路內所有主機都失去了有序的組織和聯系，所以ARP攻擊成為網路活動中相互打擊一種重要方式。

ARP病毒的傳播，必須有「肉雞」，就是容易被感染的宿主機，通過得到宿主機的控制權來發送ARP欺騙、虛假的ARP請求包和應答包。由於沒有明顯的特徵字以及ARP在網路通訊中的重要地位，防毒牆和防火牆應對ARP病毒也束手無策。所以從源頭上堵住問題數據的流出，同時放行合法的ARP數據包，才是徹底擺脫ARP困擾的終極解決方案。 這是由於乙太網協議存在漏洞造成的，也就是為什麼ARP防火牆、360、IP-MAC綁定出現這么久之後，ARP攻擊還是一直無法防治的原因，ARP防火牆、360防不了ARP攻擊！ 目前唯一能夠徹底解決ARP攻擊的終極解決方案---免疫牆技術。能夠將普通網路升級為免疫網路，從網路底層、每個終端上進行防控監測，不僅能防止本機不受攻擊，還能攔截本機對外的網路攻擊。安裝在PC機上的免疫牆終端能夠完成對MAC-IP的看守式綁定，徹底根除ARP病毒影響，即使本機中毒（刪除本機的靜態綁定列表），也不能對自身和網路造成影響。加固網路基礎安全，填補乙太網協議漏洞，能夠徹底有效的解決內網攻擊問題。並且免疫牆的技術范圍要拓展到網路的最末端，深入到協議的最底層、盤查到外網的出入口、總覽到內網的最全貌，就是希望通過網路本身對網路病毒全面抵禦，同時完善對業務的管理，使網路可控、可管、可防、可觀。

『捌』 360檢查到ARP攻擊、IP沖突怎麼辦

對於ARP攻擊與IP沖突，常見的做法是進行相應的MAC與IP綁定，路由的上DHCP功能開啟，電腦上的IP地址採用自動獲取，具體做法如下：

1、登錄到路由器的後台登錄地址為192.168.1.1，登錄名默認為admin，密碼自定(在路由器的底部可能會有標明登錄地址、登錄名、密碼等信息）

『玖』 公司網路遭ARP攻擊，尋徹底解決辦法

哈哈！這個遇到我會的了!我們公司就遇到網路問題！我給你說一下我分析原因以及解決辦法！
目前區域網內有大量的網路攻擊和欺騙。造成網路問題的原因主要是：
（1） 區域網內有大量網路協議欺騙，這樣會導致你的伺服器和主機被虛假的信息欺騙找不到真正的設備或請求回應不到真正主機。例如：大家比較熟悉的ARP欺騙。
（2） 網路中有大量的協議和流量攻擊，出現網路通道導致網卡或者交換機無法進行數據傳輸或交換。這樣你的電腦主機就無法訪問到伺服器了。例如：網路的DDOS攻擊、SYN洪水攻擊等網路協議攻擊。
傳統解決方案：（1）、進行ARP綁定，這樣可以一定程度減輕一下問題情況。
註：現在利用ARP協議進行網路攻擊或欺騙已經有七種形式的攻擊了，尤其是二代arp會清除你的綁定。所以ARP綁定是治標（效果還不一定）不治本。
（2）、還有一種粗暴的辦法那就是重做系統，讓這種利用協議攻擊的程序清除掉。
註：費時費力，問題當時肯定可以解決。你還會通過各種途徑接觸和以後再有肯定還會有同樣問題出現。
我接觸到能徹底解決網路伺服器訪問不到問題的方案是：使用巡路免疫網路安全解決方案在網路中的每台電腦網卡上安裝「終端免疫驅動」 終端MAC取自物理網卡而非系統，有效防範了MAC克隆和假冒；終端驅動實現的是雙向的控制，不僅僅抵禦外部對本機的威脅，更重要的是抑制從本機發起的攻擊。這樣網路協議欺騙和超量攻擊直接在網卡上直接攔截了，你就能正常的訪問伺服器了。
說到這里我對巡路免疫網路安全解決方案簡單一下，其實現在很多公司的網路中都存在大量網路協議攻擊導致了大家一些應用（網路列印機不能連接，內部伺服器訪問時快時慢，語音電話不清甚至電腦跟老牛似的）不能正常使用。對於這些大家包括我原來也是認為就是系統病毒或者外網攻擊問題造成的，通過與專業人士溝通以後才清楚，簡單說：現在很多網路問題80%是由於內部網路問題（網路協議攻擊）造成的，傳統的解決辦法（上防火牆、上入侵檢測系統、防毒）主要是外網、系統木馬病毒和文件病毒進行被動防範，對於網路協議攻擊沒有有效的解決辦法。巡路免疫網路解決方案不是一個單獨的產品，而是一套由軟硬體、內網安全協議，安全策略構成的完整組件。它由接入模塊、運營中心、終端免疫驅動、內網安全協議、安全策略組成，從內網的角度解決攻擊問題，應對目前網路攻擊復雜性、多樣性、更多從內網發起的趨勢，更有效地解決網路威脅。通過這個方案可以讓我們的網路變成身體強壯，讓咱們的網路可以自我防禦和管理

『拾』 arp攻擊是什麼

ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。
基於ARP協議的這一工作特性，黑客向對方計算機不斷發送有欺詐性質的ARP數據包，數據包內包含有與當前設備重復的Mac地址，使對方在回應報文時，由於簡單的地址重復錯誤而導致不能進行正常的網路通信。一般情況下，受到ARP攻擊的計算機會出現兩種現象：

1.不斷彈出「本機的XXX段硬體地址與網路中的XXX段地址沖突」的對話框。

2.計算機不能正常上網，出現網路中斷的症狀。
因為這種攻擊是利用ARP請求報文進行「欺騙」的，所以防火牆會誤以為是正常的請求數據包，不予攔截。因此普通的防火牆很難抵擋這種攻擊。
對ARP攻擊的防護
防止ARP攻擊是比較困難的,修改協議也是不大可能。但是有一些工作是可以提高本地網路的安全性。
首先，你要知道，如果一個錯誤的記錄被插入ARP或者IP
route表，可以用兩種方式來刪除。
a.
使用arp
–d
host_entry
b.
自動過期，由系統刪除