网络安全检测arp攻击

‘壹’ 电脑显示ARP攻击是怎么回事

近期国内很多单位和学校的局域网爆发一种新的“ARP欺骗”木马病毒（Address Resolution Protocol 地址解析协议），病毒发作时其症状表现为计算机网络连接正常，能登陆成功却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致网络运行不稳定，频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题，极大地影响了校园网用户的正常使用。为了保证校园网络的安全畅通，现将有关事项公告如下:
一、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：59.74.0.0这一段）所有主机发送ARP欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病毒主机上网。由于病毒发作时发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。此时病毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网络时断时续。
情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。
二、故障诊断
如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。
注："arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

三、故障处理
1、中毒者：ARP病毒专杀工具下载 1.96MB （务必下载安装后查杀）；
2、受害者：下载Anti ARP Sniffer软件 1.84MB 保护本地计算机正常运行
输入网关地址（点击“开始”，“运行”，在窗口中输入“cmd”,点“确定”，调出“命令提示符”。输入并执行以下命令：ipconfig /all，“Default Gateway”后面对应的值就是用户所在子网的网关地址！）点击“枚取MAC地址”，点击“自动保护”保证当前网卡与网关的通信不被第三方监听，最后选中“开机自动运行软件” 即完成了软件设置工作！
3、如运行AntiArp程序仍无效果，可下载系统补丁以作尝试：
WINXP系统ARP病毒补丁 2KBWIN2000系统ARP病毒补丁 30.8MB

四、入网日常安全守则
1、校园网并不比互联网安全。校园网是互联网的组成部分。校园网内用户并非全部安全可靠，甚至依仗内网的速度优势，校园网更容易成为病毒传播的温床，也给攻击你的骇客带来便利。
2、设置足够强劲的密码。脆弱的密码是给别人开设的方便之门。正在用电脑的也许不只是坐在显示器前的您。
3、及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库。（补丁就是操作系统的疫苗，打一个就防一种威胁，打得越全越安全。）
校园网推荐用户使用Mcafee VirusScan Enterprise 8.0i
注意：目前国内主流的计算机防毒软件只能避免自己电脑主机感染ARP病毒，但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。
4、要增强网络安全意识，培养良好的使用习惯。不要轻易下载、使用不了解和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页），以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。绝对的匿名是不可能实现的, 无论是在真实的生活中还是在WEB上。
5、网络安全靠大家。校园网是公共服务设施，保障网络安全不仅是网络中心的工作，更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治，网络才能长治久安。

五、管理措施
此类ARP攻击虽危害巨大，但由于攻击范围仅限本网段而难以监控，请广大用户积极配合，及时将有关情况通告网络中心（联系电话82201492，82205304转6616）。一旦确认攻击源，无论是无意中毒还是有意攻击，网络中心将先封闭其交换机端口，待病毒清除后再行解封。

‘贰’ 电脑受到ARP攻击，这是什么情况啊

局域网ARP攻击行为，首先需要开启Windows自带的防火墙功能。如图所示，在”运行“窗口中输入”services.msc“打开。

‘叁’ 详解:如何检测局域网内是否有arp病毒

如何检测局域网内是否有 arp 病毒想更好防护 arp 病毒，最好迚行 mac 地址和 ip 地址的绑定！ 如 何检测局域网内是否有 arp 病毒 关于局域网内 ARP 病毒的本机检测 方法和检测工具 病毒发作症状：计算机网络连接正常，能 PING 通 楼内机器却无法 PING 通网关、无法打开网页；戒由于 ARP 欺骗的 木马程序（病毒）发作时发出大量的数据包，导致网络运行丌稳定， 频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。 网络中断原因：当局域网内某台主机感染了 ARP 病毒时，会向本局 域网内 （指某一网段， 比如： 172.16.24.0 这一段） 所有主机发送 ARP 欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病 毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病 毒主机上网。 由于病毒发作时发出大量数据包会将网络拥塞，大家 会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限 制，感觉运行速度很慢时，可能会采取重新启动戒其他措施。此时病 毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网 络时断时续。 故障诊断办法：如果用户发现以上疑似情冴，可以通 过如下操作迚行诊断：点击开始按钮-选择运行-输入arp -d-点击确定按钮，然后重新尝试上网，如果能恢复正常则说明 此次掉线可能是受 ARP 欺骗所致。 （arp -d命令用于清除并重建本 机 arp 表并丌能抵御 ARP 欺骗， 执行后仍有可能再次遭受 ARP 攻击。 ） 本网检测工具：下载并运行 AntiArp 程序。输入本网段的网关 ip 地址后，点击获取网关 MAC 地址，检查网关 IP 地址和 MAC 地址无 误后，点击自动保护。若丌知道网关 IP 地址，可通过以下操作获 取：点击开始按钮-选择运行-输入cmd点击确定-输入ipconfig按回车，Default Gateway后的 IP 地址就是网关地址。 AntiArp 软件会在提示框内出现病毒主机的 MAC 地址。 本机查杀 工具：下载并运行 TSC.EXE 程序。运行过程中丌要关让它一直运行 到自动关闭，最后查看 report 文档便知是否中毒。若中毒则建议重 新安装操作系统。 另：还有个最简易的办法，安装 金山卫士， 一定要开启 金山ARP 防火墙功能，这方面我就丌多说了，自己看下 应该就会;还可以在安装金山毒霸、瑞星杀毒等杀毒软件的时候，选择 arp 防护开启 功能！ 一、AntiARP-DNS [主程序] 它包括了对 ARP 和 DNS 欺骗 攻击的实时监控和防御， 受到攻击时会迅速记录追踪攻击者并且控制 攻击的程度至最低。 能有效防止局域网内的非法 ARP 戒 DNS 欺骗攻 击，特别是运用于校园网络中。它还能解决被人攻击之后出现逗IP 冲突地的烦人提示框。如果您的机器是中了 ARP 类病毒，请先下载 专杀工具来解决，本程序只做辅助使用。(强制反 ARP 欺骗，请参考 官方相关文章。) 二、IP-Mac Scan [辅助扫描程序] 它用于局域网 内批量 IP 对应的真实 MAC 迚行扫描， 确保得到准确 MAC 信息。

‘肆’ 路由检测到ARP攻击

ARP攻击分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP攻击的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP攻击的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。常用的解决办法就是：一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。三是前两种办法的组合，称其为IP-MAC双向绑定。方法是有效的，但工作很繁琐，管理很麻烦。每台PC绑定本来就费力，在路由器中添加、维护、管理那么长长的一串行表，更是苦不堪言。一旦将来扩容调整，或更换网卡，又很容易由于疏忽造成混乱。况且ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定，伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。 我也曾受过arp的毒害，辛辛苦苦做的双向绑定遇到二代arp攻击变的是无所遁形，我觉得要想真正的杜绝arp攻击还是要我们内网每台电脑都联动起来，共同防范，共同抑制，光装防arp攻击的防火墙是远远不够的，这只能保证你可能不被攻击，但不能杜绝你不发arp攻击，这样是治标不治本的，因此要想真正杜绝arp最治本的方法还是从源头抑制，即从每个终端上抑制arp攻击的发出，因此要想完全的杜绝arp攻击要靠软硬件的结合，单靠硬件是无法实现的。后来是用“免疫墙”解决的，这个免疫墙技术专门针对内网病毒攻击的。你可以去试试。

‘伍’ 如何检测ARP是否被攻击

局域网ARP攻击的检测方法：打开“运行”窗口，输入“CMD”进入MSDOS界面。

在打开的“MSDOS”界面中，输入“arp -a”查看arp列表，其中如果存在多条与网关IP相对应的MAC地址时，表明局域网存在ARP攻击。

此外，我们还可以通过许多软件来检测局域网ARP攻击，例如“聚生网管”软件，直接在网络中搜索来获取下载地址。

运行“聚生网管”软件，在其主界面中点击“安全防御”-“安全检测工具”项进入。

在打开的“安全检测工具”界面中，点击“局域网攻击检测工具 开始检测”按钮。

并在弹出的窗口中点击“开始检测”按钮，并在弹出的窗口中点击“是”按钮，即可自动检测局域网中的攻击源并列表。

对于局域网ARP攻击，有效的防护措施是利用ARP绑定，将网关IP和其Mac地址进行绑定即可。这可以利用“360流量防火墙”来实现。或者利用“聚生网管”跌“安全防御”-》“IP和MAC绑定”项来实现。

‘陆’ 电脑总是受到ARP攻击怎么办

电脑遭受ARP断网攻击怎么办?
ARP协议是地址解析协议的缩写。ARP协议用于把IP地址解析成LAN硬件使用的MAC地址。IP数据包常通过以太网发送，但以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。
一、原因
根据实际经验，这个问题无非有两种情况!
1、电脑中了ARP病毒，这种感觉病毒传播速度很快，一般局域网内有一台中毒，其它也很难幸免，所以要找到ARP攻击主机!如果有一天你的电脑老掉线或极慢，就要考虑你的电脑是否也感染了病毒!
2、局域网内内有人使用了类似P2P技术的软件，来抢了你的流量，这个问题你就要找和你用一根网线的用户谈谈了!
二、系统自带防御--防御等级★★
1、 开启系统自带的防火墙，其实系统自带的防火墙也能应付一般性ARP攻击的!但很少人用。首先点击开始菜单，进入控制面板!
2、在控制面板页面选择“系统与安全”选项进入。
3、在系统与安全界面选择进入windows防火墙下面的检查防火墙状态!
4、 在windows防火墙状态页面，点击右侧菜单的“打开或关闭windows防火墙”!
5、在开关防火墙页面，将所有网络环境下的防火墙开启!
三、360防火墙--防御等级★★★★
1、其实我们电脑上常用的360安全卫士也能应付一般性难度的ARP攻击，只是需要我们开启设置，首先进入360安全卫士主页面，点击右侧的功能大全--更多!
2、在功能大全页面，点击流量防火墙，没有的可以在下方列表中自行添加!
3、 启动流量防火墙后点击，点击局域网防护菜单，在此页面打开“局域网ARP保护”开关。
四、专业ARP防火墙--防御等级★★★★★
1、如果上述方法都解决不了的话，那只能使用专业的彩影ARP防火墙软件了，它可以直接追踪主机详细情况，替你彻底解决问题!注意这个软件单击个人版是可以免费使用的!直接网络搜索彩影ARP防火墙即可找到下载链接!下载后直接安装即可!
2、启动软件，可以自动监控，至于设置方面，都很容易上手的!如果希望关闭报警提示，具体方法：在工具栏点高级参数设置--“报警” 将里面的三个复选框的勾都去掉即可，然后点击确定按钮!
3、在选项里的网络流量分析可以很容易找到攻击的源头!其它设置我们基本使用默认就可以了!
4、至于高级参数设置选择”始终启用 “，输入40。

‘柒’ ARP局域网攻击是什么意思

目前信息网络问题频出，掉线、网速慢、内网服务器访问缓慢等，统计数据表明，网络问题80%是内网攻击引起的，其中ARP攻击导致的各种网络问题，业已成为最头疼的问题，ARP也一跃成为网络圈里最耳熟能详的名词之一。 首先澄清一点，ARP不是病毒，而是一种“协议性攻击行为”，只所以称之为病毒，是因为目前ARP攻击工具的传播方式与发作现象已经愈来愈接近病毒。ARP（地址解释协议）是网络通信协议中的不可缺少的关键协议，它是负责将IP地址转换为对应MAC地址的协议。ARP的存在给了好事者可趁之机，但如果缺少了ARP协议，网络设备之间将无法进行通讯，这是为什么对ARP投鼠忌器的主要原因。

ARP病毒可分为两种，一种是ARP欺骗，一种是ARP攻击。ARP欺骗最先是黑客们偷盗网络账号使用的，后来被广泛用于类似网路岗、网络执法官之类的网络管理工具，被骗主机会将数据发送给伪装的主机，从而达到截获数据的目的。而ARP攻击纯粹是以破坏网络通讯为主要目的，发送虚假的ARP请求包或应答包，使得网络内所有主机都失去了有序的组织和联系，所以ARP攻击成为网络活动中相互打击一种重要方式。

ARP病毒的传播，必须有“肉鸡”，就是容易被感染的宿主机，通过得到宿主机的控制权来发送ARP欺骗、虚假的ARP请求包和应答包。由于没有明显的特征字以及ARP在网络通讯中的重要地位，防毒墙和防火墙应对ARP病毒也束手无策。所以从源头上堵住问题数据的流出，同时放行合法的ARP数据包，才是彻底摆脱ARP困扰的终极解决方案。 这是由于以太网协议存在漏洞造成的，也就是为什么ARP防火墙、360、IP-MAC绑定出现这么久之后，ARP攻击还是一直无法防治的原因，ARP防火墙、360防不了ARP攻击！ 目前唯一能够彻底解决ARP攻击的终极解决方案---免疫墙技术。能够将普通网络升级为免疫网络，从网络底层、每个终端上进行防控监测，不仅能防止本机不受攻击，还能拦截本机对外的网络攻击。安装在PC机上的免疫墙终端能够完成对MAC-IP的看守式绑定，彻底根除ARP病毒影响，即使本机中毒（删除本机的静态绑定列表），也不能对自身和网络造成影响。加固网络基础安全，填补以太网协议漏洞，能够彻底有效的解决内网攻击问题。并且免疫墙的技术范围要拓展到网络的最末端，深入到协议的最底层、盘查到外网的出入口、总览到内网的最全貌，就是希望通过网络本身对网络病毒全面抵御，同时完善对业务的管理，使网络可控、可管、可防、可观。

‘捌’ 360检查到ARP攻击、IP冲突怎么办

对于ARP攻击与IP冲突，常见的做法是进行相应的MAC与IP绑定，路由的上DHCP功能开启，电脑上的IP地址采用自动获取，具体做法如下：

1、登录到路由器的后台登录地址为192.168.1.1，登录名默认为admin，密码自定(在路由器的底部可能会有标明登录地址、登录名、密码等信息）

‘玖’ 公司网络遭ARP攻击，寻彻底解决办法

哈哈！这个遇到我会的了!我们公司就遇到网络问题！我给你说一下我分析原因以及解决办法！
目前局域网内有大量的网络攻击和欺骗。造成网络问题的原因主要是：
（1） 局域网内有大量网络协议欺骗，这样会导致你的服务器和主机被虚假的信息欺骗找不到真正的设备或请求回应不到真正主机。例如：大家比较熟悉的ARP欺骗。
（2） 网络中有大量的协议和流量攻击，出现网络通道导致网卡或者交换机无法进行数据传输或交换。这样你的电脑主机就无法访问到服务器了。例如：网络的DDOS攻击、SYN洪水攻击等网络协议攻击。
传统解决方案：（1）、进行ARP绑定，这样可以一定程度减轻一下问题情况。
注：现在利用ARP协议进行网络攻击或欺骗已经有七种形式的攻击了，尤其是二代arp会清除你的绑定。所以ARP绑定是治标（效果还不一定）不治本。
（2）、还有一种粗暴的办法那就是重做系统，让这种利用协议攻击的程序清除掉。
注：费时费力，问题当时肯定可以解决。你还会通过各种途径接触和以后再有肯定还会有同样问题出现。
我接触到能彻底解决网络服务器访问不到问题的方案是：使用巡路免疫网络安全解决方案在网路中的每台电脑网卡上安装“终端免疫驱动” 终端MAC取自物理网卡而非系统，有效防范了MAC克隆和假冒；终端驱动实现的是双向的控制，不仅仅抵御外部对本机的威胁，更重要的是抑制从本机发起的攻击。这样网络协议欺骗和超量攻击直接在网卡上直接拦截了，你就能正常的访问服务器了。
说到这里我对巡路免疫网络安全解决方案简单一下，其实现在很多公司的网络中都存在大量网络协议攻击导致了大家一些应用（网络打印机不能连接，内部服务器访问时快时慢，语音电话不清甚至电脑跟老牛似的）不能正常使用。对于这些大家包括我原来也是认为就是系统病毒或者外网攻击问题造成的，通过与专业人士沟通以后才清楚，简单说：现在很多网络问题80%是由于内部网络问题（网络协议攻击）造成的，传统的解决办法（上防火墙、上入侵检测系统、防毒）主要是外网、系统木马病毒和文件病毒进行被动防范，对于网络协议攻击没有有效的解决办法。巡路免疫网络解决方案不是一个单独的产品，而是一套由软硬件、内网安全协议，安全策略构成的完整组件。它由接入模块、运营中心、终端免疫驱动、内网安全协议、安全策略组成，从内网的角度解决攻击问题，应对目前网络攻击复杂性、多样性、更多从内网发起的趋势，更有效地解决网络威胁。通过这个方案可以让我们的网络变成身体强壮，让咱们的网络可以自我防御和管理

‘拾’ arp攻击是什么

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。
基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：

1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

2.计算机不能正常上网，出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。
对ARP攻击的防护
防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。
首先，你要知道，如果一个错误的记录被插入ARP或者IP
route表，可以用两种方式来删除。
a.
使用arp
–d
host_entry
b.
自动过期，由系统删除