arp问题

现在局域网中感染ARP 病毒的情况比较多，清理和防范都比较困难，给不少的网络管理

员造成了很多的困扰。下面就是个人在处理这个问题的一些经验，同时也在网上翻阅了不少

的参考资料。

ARP 病毒的症状：

有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，

拷贝文件无法完成，出现错误；局域网内的ARP 包爆增，使用Arp 查询的时候会发现不正

常的Mac 地址，或者是错误的Mac 地址对应，还有就是一个Mac 地址对应多个IP 的情况

也会有出现。

ARP 攻击的原理：

ARP 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报

警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者，ARP

数据包的发送和目标地址不在自己网络网卡MAC 数据库内，或者与自己网络MAC 数据库

MAC/IP 不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能

伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终

结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关

的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，

就是可以很容易的获取用户的密码等相关信息。

处理办法：

通用的处理流程：

1 先保证网络正常运行

方法一：编辑个bat 文件内容如下：

arpexe s

（网关ip）

（

网关mac 地址）

end

让网络用户点击就可以了!

办法二：编辑一个注册表问题，键值如下：

Windows Registry Editor Version 500

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mac"="arp s

网关IP 地址网关Mac 地址"

然后保存成Reg 文件以后在每个客户端上点击导入注册表。

2 找到感染ARP 病毒的机器。

a：在电脑上ping 一下网关的IP 地址，然后使用ARP －a 的命令看得到的网关对应

的MAC 地址是否与实际情况相符，如不符，可去查找与该MAC 地址对应的电脑。

b：使用抓包工具，分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路

径指向自己，有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易，第二种

处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和

手工处理病毒，比较困难。

c：使用mac 地址扫描工具，nbtscan 扫描全网段IP 地址和MAC 地址对应表，有助

于判断感染ARP 病毒对应MAC 地址和IP 地址。

预防措施：

1，及时升级客户端的 *** 作系统和应用程式补丁；

2，安装和更新杀毒软件。

4，如果网络规模较少，尽量使用手动指定IP 设置，而不是使用DHCP 来分配IP 地址。

5，如果交换机支持，在交换机上绑定MAC 地址与IP 地址。（不过这个实在不是好主意）

检测 arp 工具

下载地址：>

我是这样解决ARP欺骗的(中国儿童资源网TOM61COM)2007-05-20 23:03我校共计700多台上网电脑带ARP病毒的机子不计其数，原来使用各种方法消灭之，见效不大。例如:安装ARP预防软件、客户端绑定服务器MAC等等。。。但工作量大实施起来不切实际，总结ARP解决的各种方法其实道理大同小异。无非就是服务器绑客户机的MAC和ARP，客户机绑服务器的MAC和ARP。因没钱买硬路由来解决ARP，所以选择软路由，通过对各种软路由软件的试用如：RouterOS、m0n0Wall、SmoothWall、CoyoteLinux、发现RouterOS可以说是解决ARP病毒的最快也是最有效的工具，我的解决方法是这样的：

1、保证RouterOS正常工作，客户端网络连接正常。（详细教程网上多的是自已查吧）

2、开启RouterOS的DHCP服务采集客户端的IP和MAC地址、在LEASES列表中会列出局域网的IP地址，等局域网全部IP采集完成对IP进行绑定，使其只能获得同一个IP，如果你的IP是静态指定的哪么可用IP-MAC扫描软件做一个IP和MAC的对应表。（这是为ARP的绑定做准备）

3、是最关键的一步、打开WINBOX选IP－＞ARP你会发现RouterOS以自动登记了好多的IP和MAC地址，将RouterOS采集的ARP表中的MAC地址与DHCP中的MAC地址一一对应IP地址做检查，修改ARP对应表中哪些与DHCP对应表不相同的MAC地址，使其和DHCP的MAC一IP表对应。并在ARP表中指定IP-MAC为静态（这也就是在服务器端绑定了客户端的MAC）检查中发现ARP列表中有很多DHCP中没有的IP地址这些IP有两种可能、1是ARP病毒的杰作2是局域网中有人自已指定了静态的IP所以只登记入ARP列表而没有进入DHCP列表。

4、如果你能确定局域网内的IP全部登记进入软路由列表中，那么就把那些还没用过的IP加入到ARP和DHCP列表中并把MAC全部指定为00：00：00：00：00：00：00，让ARP病毒没有机会修改MAC，不过这样做如果有新的机器要加入的话，将不能得到IP，我自已是没有这样做的，因为我校的机子随时会增加这样只能给自已找麻烦。看你的情况定了如果你局域网的机子固定不变的话这个做法是可行的。

5、做一个客户端绑定服务器的批处理文件，ARPBAT

@echo off

arp -d

arp -s 19216801 00-14-78-23-91-B6 MAC改为你自已的服务器MAC

找一个程序打包的软件，将改文件加入到WINDOWS的启动中，做成一个可执行文件ARPEXE

在每一个客户机中运行，我将这个文件美其名曰"XXX学校专用ARP补定"哈哈。

重起客户机完成ARP病毒的处理，到现在所有双向绑定的客户机没有出现掉线现象！！！

ARP病毒欺骗相对来说，在局域网中是比较常出现的，出现这样的问题，主要是局域网中某台电脑中了病毒后，对其它机子进行mac地址有欺骗行为，通过ARP协议来完成IP地址转换为第二层物理地址，实现局域网机器的通信。ARP协议对网络安全具有重要的意义。这是建立在相互信任的基础上。如果通过伪造IP地址和MAC地址实现ARP欺骗，将在网络中产生大量的ARP通信量使网络阻塞、掉线、重定向、嗅探攻击。

我们知道每个主机都用一个ARP高速缓存，存放最近IP地址到MAC硬件地址之间的映射记录。Windows高速缓存中的每一条记录的生存时间一般为60秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。如：X向Y发送一个自己伪造的ARP应答，而这个应答中的数据发送方IP地址是19216813（Z的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（Z的真实MAC地址却是CC-CC-CC-CC-CC-CC，这里被伪造了）。当Y接收到X伪造的ARP应答，就会更新本地的ARP缓存（Y可不知道被伪造了）。那么如果伪造成网关呢

Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个 Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个 HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下面交换机中日志所示：

字串6

Internet 19216814 0000bcd85a193 ARPAVlan256

Internet 19216815 0000bcd85a193 ARPAVlan256

Internet 19216816 0000bcd85a193 ARPAVlan256

Internet 19216817 0000bcd85a193 ARPAVlan256

Internet 19216818 0000bcd85a193 ARPAVlan256

Internet 19216819 0000bcd85a193 ARPAVlan256

字串9

ARP攻击时的主要现象

网上银行、保密数据的频繁丢失。域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以窃取所有机器的资料了。

网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常。局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再次断线。

你受到的攻击来自19216811，而这又是网关，我看到你上面瑞星防火墙“规则名称”为“ARP

RULE”，说明你受到的所谓“攻击”，实际上是触犯了“ARP

RULE”，是防火墙的误报，在防火墙里可以人工设置静态规则的，可能是你09年以前在防火墙里设置过这样一条静态规则-------“19216811”对应“00:21:27:1e:af:56”，后来你忘了，当你连接新的路由时，MAC地址就冲突了，并且显示冲突来自“19216811”，这条规则应该是你在09年以前人工设置的，并且你在09年至今应该一直用着360和瑞星这2个防火墙，至于你在哪个防火墙里设置了静态规则，你找找，找到这条规则，把它删了就行了。

防护arp攻击软件最终版-Antiarp安全软件

使用方法：

1、填入网关IP地址，点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址

2、IP地址冲突

如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。

3、您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：

右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。

注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。

希望可以帮到你，谢谢！

您好，亲爱的管家用户

您好！手机管家提示ARP攻击是一种常见的WiFi网络风险，是由于您所接入的WiFi网络中同时其他黑客接入并且进行ARP攻击，有可能窃取您在上网过程中的数据传输和账号密码信息。

如果您连接的WiFi是日常使用可信任的，可 以选择忽略这种风险继续上网，但建议您谨慎访问网银和支付网站。

感谢您对腾讯手机管家的支持！

以上就是关于arp 问题全部的内容，包括:arp 问题、什么是ARP地址欺骗，如何解决ARP地址欺骗、arp 欺骗的解决办法等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！