局域网中了ARP病毒不断遭到攻击怎么查出是哪个机器中的病毒

ARP攻击内网的网络现象：
突发性瞬间断线，快速连上，期间上网速度越来越慢，一段时间又瞬间断线。

ARP攻击内网诊断：
1、断线时（ARP攻击木马程序运行时）在内网的PC上执行ARP –a 命令，看见网关地址的mac地址信息不是路由器的真实mac地址；
2、内网如果安装sniffer软件的话，可以看到ARP攻击木马程序运行时发出海量的ARP查询信息。

内网被攻击原因：
ARP攻击木马程序（传奇盗号木马）运行时，将自己伪装成路由器，所有内网用户上网从由路由器上网转为从中毒电脑上网，切换过程中用户会断一次线。

过程用户感觉上网非常慢。

当ARP攻击木马程序停止运行时，所有内网用户上网又从由中毒电脑上网转为从路由器上网，切换过程中用户会再断一次线。

在HiPER上的快速诊断：
1、系统状态—系统信息—系统历史纪录内，可以看见大量的mac地址变化信息，且mac地址都变化成进行
ARP攻击那台电脑的mac地址，或者由同一mac地址变回原来的真实mac地址。

MAC Chged 10.128.103.124 */该IP地址的MAC地址发生变化MAC Old 00:01:6c:36:d1:7f */变化前的MAC地址
MAC New 00:05:5d:60:c7:18 */变化后的MAC地址
2、断线时（ARP攻击木马程序运行时），在系统状态—用户统计中，观察到的所有用户的mac地址一致。

内网ARP攻击解决办法：
1、将感染病毒的PC从内网断开，查杀病毒。

2、在PC和路由器上双向绑定对方的IP和MAC地址。

快速确认内网ARP攻击的方法就为大家介绍完了，希望通过以上的介绍能够帮助到大家。

如何能够快速检测定位出局域网中的ARP病毒电脑？面对着局域网中成百台电脑，一个一个地检测显然不是好办法。

其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。

识别ARP可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确的网关IP地址和MAC地址，并且实时监控来自全网的ARP数据包。

当发现有某个ARP数据包广播，来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候，ARP欺骗发生了。

对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。

一般情况下，被ARP被攻击后，局域网内会出现以下两种现象：1、不断弹出―本机的XXX段硬件地址与网络中的XXX段地址冲突‖的对话框。

2、计算机不能正常上网，出现网络中断的症状。

很多管理员认为有高级功能防火墙，可以得到相应的保护，恰恰相反，防火墙会误以为这是正常的请求数据包，不予拦截。

由此而见，需要我们找到问题根源，找到源头，才能真正解决问题所在。

当你的局域网内出现上面症状后，根据局域网大小，方可使用以下三种方法来检测ARP中毒电脑：检测ARP攻击一、工具软件法：网上已经有很多ARP病毒定位工具软件，目前网络中做得较好的是ARP防火墙。

打开ARP防火墙，输入网关IP地址后，再点击红色框内的―枚举MAC‖按钮，即可获得正确网关的MAC地址，接着点击―自动保护‖按钮，即可保护当前网卡与网关的正常通信。

当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。

这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。

二、命令行法：在受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，在cmd命令提示行下输入查询命令为arp －a。

三种方法找出内网的ARP攻击源用户咨询：内网有电脑中了ARP病毒，但是网络拓扑比较复杂、电脑数量较多，排查起来很困难。

有什么方法可以找出ARP攻击源？排查方法：1.使用Sniffer抓包。

在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。

如果发现有某个IP不断发送请求包，那么这台电脑一般就是病毒源。

原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。

最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。

前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

2. 使用arp -a命令。

任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。

例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。

原理：一般情况下，网内的主机只和网关通信。

正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。

如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。

如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

3. 使用tracert命令。

在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert61.135.179.148。

假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。

原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。

所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。

如何精确定位进行ARP攻击找到攻击源头1．定位ARP攻击源头主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。

定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。

标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。

这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。

被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。

也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC 地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC 地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。

输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：假设查找一台MAC地址为“000d870d585f”的病毒主机。

1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。

局域网ＡＲＰ病毒入侵检测与解决方案作者：胡风新丁辉管羽来源：《硅谷》2009年第14期[摘要]针对公司办公局域网由于ARP病毒造成导致网络不正常和影响办公的问题，进行系统的分析，了解ARP病毒的原理，以快速、准确地找到中毒计算机为关键内容，查找解决预防ARP病毒的方案论述，有效的保证公司办公网络的运行稳定。

[关键词]ARP欺骗 MAC地址网关病毒主机中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2009）0720044－01一、背景与目标随着计算机办公自动化系统的普及与发展，我们日常工作办公越来越多地依靠计算机网络系统进行信息的互换与共享。

可靠、高速的计算机网络环境不仅是企业内部的通信渠道，而且成为了办公自动化的基础，能够促进企业各环节间进行有效的协作和交流。

我们管理的网络是一个星型结构局域网（设计为1144个终端用户），公司内部现接入局网微机约有150台，还有两个外围单位通过光纤接入内部网络10台微机。

今年我们在管理时发现，网络经常出现异常情况：使用局域网工作时时会突然掉线，过一段时间后又恢复正常；微机频繁断网，IE浏览器频繁出错，造成办公系统无法正常使用；一些常用软件出现故障；有时使用身份认证登陆一些管理界面时，出现能够通过认证，但是无法正常使用；使用命令PING网关丢包严重，内部地址PING值正常。

在短短的一个月中间，公司办公局网频繁出现这类的现象，严重的影响了正常的办公网络环境。

通过我们的研究讨论后认为，出现这类现象的主要原因是网络中存在ARP病毒，如何能快速、准确地找到中毒计算机并及时解决成为了我们心中的目标。

二、ARP病毒故障原理及表现要解决这些问题，我们首先了解一下ARP病毒。

在局域网中，通过ARP协议来将IP地址解析为第二层物理地址（即MAC地址）。

ARP协议对网络安全具有重要的意义。

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中使大量数据被送到错误的MAC地址上，造成网络故障。

arp攻击(arp攻击解决办法)如果你发现经常网络掉线，或者发现自己的网站所有页面都被挂马，但到服务器上，查看页面源代码，却找不到挂马代码，就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。

除了装ARP防火墙以外，还可以通过绑定网关的IP和MAC来预防一下。

如果你发现经常网络掉线，或者发现自己的网站所有页面都被挂马，但到服务器上，查看页面源代码，却找不到挂马代码，就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。

除了装ARP防火墙以外，还可以通过绑定网关的IP和MAC来预防一下。

这个方法在局域网中比较适用：你所在的局域网里面有一台机器中了ARP病毒，它伪装成网关，你上网就会通过那台中毒的机器，然后它过一会儿掉一次线来骗取别的机器的帐户密码什么的东西。

下面是手动处理方法的简要说明：如何检查和处理“ ARP 欺骗”木马的方法1．检查本机的“ ARP 欺骗”木马染毒进程同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2．检查网内感染“ ARP 欺骗”木马染毒的计算机在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：ipconfig记录网关IP 地址，即“Default Gateway ”对应的值，例如“ 59.66.36.1 ”。

再输入并执行以下命令：arp –a在“ Internet Address ”下找到上步记录的网关IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

局域XXRP病毒随着计算机技术和Internet技术的不断推广应用,XX络逐渐成为人们日常生活中不可缺少的部分。

通过XX络人们可以完成扫瞄信息、收发邮件、远程信息治理、与外界进行电子商务交易等活动。

但是由于XX络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及XX络边界的不可知性,XX络中必定存在众多潜在的安全隐患。

近年来,针对XX络的攻击也在不断增加,其中利用RP协议漏洞对XX络进行攻击就是其中的一种重要方式。

一、RP病毒现象1.局域XX内频繁性地区域或整体掉线,重启计算机或XX络设备后恢复正常。

当带有RP欺骗程序的计算机在XX内进行通讯时,就会导致频繁掉线。

出现此类问题后重启计算机或禁用XX卡会临时解决问题,但掉线情况还会发生。

2.XX速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。

当局域内的某台计算机被RP的欺骗程序非法侵入后,它就会持续地向XX内所有的计算机及XX络设备发送大量的非法RP 欺骗数据包,堵塞XX络通道。

造成XX络设备的承载过重,导致XX络的通讯质量不稳定。

用户会感觉上XX速度越来越慢或时常断线。

当RP欺骗的木马程序停止运行时,用户会恢复从路由器上XX,切换过程中用户会再断一次线。

二、RP病毒攻击方式1.中间人攻击。

中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间,使他的主机如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信。

2.拒绝服务攻击。

拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。

3.克隆攻击。

攻击者首先对目标主机实施拒绝服务攻击,使其不能对外界作出任何反应。

然后攻击者就可以将自己的IP与MC 地址分别改为目标主机的IP与MC地址,这样攻击者的主机变成了与目标主机一样的副本。

三、RP病毒攻击原理RP欺骗的核心思想就是向目标主机发送伪造的RP应答,并使目标主机接收应答中伪造的IP地址与MC地址之间的映射对,以此更新目标主机RP缓存。