如何快速查出局域网内ARP病毒

ARP攻击内网的网络现象：
突发性瞬间断线，快速连上，期间上网速度越来越慢，一段时间又瞬间断线。

ARP攻击内网诊断：
1、断线时（ARP攻击木马程序运行时）在内网的PC上执行ARP –a 命令，看见网关地址的mac地址信息不是路由器的真实mac地址；
2、内网如果安装sniffer软件的话，可以看到ARP攻击木马程序运行时发出海量的ARP查询信息。

内网被攻击原因：
ARP攻击木马程序（传奇盗号木马）运行时，将自己伪装成路由器，所有内网用户上网从由路由器上网转为从中毒电脑上网，切换过程中用户会断一次线。

过程用户感觉上网非常慢。

当ARP攻击木马程序停止运行时，所有内网用户上网又从由中毒电脑上网转为从路由器上网，切换过程中用户会再断一次线。

在HiPER上的快速诊断：
1、系统状态—系统信息—系统历史纪录内，可以看见大量的mac地址变化信息，且mac地址都变化成进行
ARP攻击那台电脑的mac地址，或者由同一mac地址变回原来的真实mac地址。

MAC Chged 10.128.103.124 */该IP地址的MAC地址发生变化MAC Old 00:01:6c:36:d1:7f */变化前的MAC地址
MAC New 00:05:5d:60:c7:18 */变化后的MAC地址
2、断线时（ARP攻击木马程序运行时），在系统状态—用户统计中，观察到的所有用户的mac地址一致。

内网ARP攻击解决办法：
1、将感染病毒的PC从内网断开，查杀病毒。

2、在PC和路由器上双向绑定对方的IP和MAC地址。

快速确认内网ARP攻击的方法就为大家介绍完了，希望通过以上的介绍能够帮助到大家。

检查和处理“ ARP 欺骗”木马的方法
1、检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：
ipconfig
记录网关IP 地址，即“ Default Gateway ”对应的值，例如“10.87.58.126 ”。

再输入并执行以下命令：
arp –a
在“ Internet Address ”下找到上步记录的网关IP 地址，记录其
对应的物理地址，即“ Physical Address ”值，例如
“00-00-0c-07-ac-0f ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

3 ．设置ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。

用上边介绍的方法确定正确的网关IP 地址和网关物理地址，然后在“命令提示符”窗口中输入并执行以下命令：
arp –s 网关IP 网关物理地址。

内网遭遇ARP攻击查找妙招
当一个网段有好几台服务器无法上网报障时，有可能是内网ARP，马上telnet 到三层交换机上（二层的不行）用show arp（华为设备用dis arp）可以查看到有几个IP地址的MAC 地址相同；记下这几个IP后马上用show logging 命令（华为设备用dis logbuffer）查看日志你会发现其中有一个IP没有日志报错；这个IP就是内网ARP发起者；马上对它采取措施（交换机上shutdown连接此IP的端口或者直接关闭此IP的服务器查杀ARP后才插网线开机）。

如果某台服务器经常有内网ARP时可以考虑为此服务器单独划分一个VLAN以阻断它对整个网段的影响；然后对它彻底处理。

也可做端口镜像后在PC机上抓包分析；但笔者认为没有上面的方法来行快。

如果没有三层交换设备的网络环境可以直接在PC机上抓包分析后做处理。

从sniffer下手揪出ARP病毒的几种方法一，ARP欺骗病毒发作迹象一般来说ARP欺骗病毒发作主要有以下几个特点，首先网络速度变得非常缓慢，部分计算机能够正常上网，但是会出现偶尔丢包的现象。

例如ping网关丢包。

而其他大部分计算机是不能够正常上网的，掉包现象危机。

但是这些不能上网的计算机过一段时间又能够自动连上。

ping网关地址会发现延迟波动比较大。

另外即使可以正常上网，象诸如邮箱，论坛等功能的使用依然出现无法正常登录的问题。

二，确认ARP欺骗病毒发作当我们企业网络中出现了和上面描述类似的现象时就需要我们在本机通过arp显示指令来确认病毒的发作了。

第一步：通过“开始->运行”，输入CMD指令后回车。

这样我们将进入命令提示窗口。

第二步：在命令提示窗口中我们输入ARP-A命令来查询本地计算机的ARP 缓存信息。

在显示列表中的physicaladdress列就是某IP对应的MAC地址了。

考试大提示如果企业没有进行任何MAC与IP地址绑定工作的话，ARP模式列显示的都是dynamic动态获得。

当我们发现arp-a指令执行后显示信息网关地址对应的MAC地址和正确的不同时就可以的确定ARP欺骗病毒已经在网络内发作了。

例如正常情况下笔者网络内网关地址192.168.2.1对应的MAC地址是00-10-5C-AC-3D-0A，然而执行后却发现192.168.2.1对应的MAC地址为00-10-5c-ac-31-b6。

网关地址MAC信息错误或变化确认是ARP病毒造成的。

第三步：我们用笔将错误的MAC地址记录下来，为日后通过sniffer排查做准备。

接下来我们就应该利用sniffer这个强健的工具来找出病毒根源了。

三，从sniffer下手揪出ARP病毒一般来说的办法是找一台没有感染病毒的计算机连接到企业核心路由交换设备的镜像端口来抓取数据包。

考试大提示如果没有镜像端口直接连接到网络中抓取也可以，只是所抓数据会不全，分析问题的周期比较长。

教你如何检测内网arp攻击【协助工具海蜘蛛】
2010-08-01 12:04
有时网络会出现掉线，有时还会一时可以上一时又上不了。

这可能是受到内网arp攻击，
但是要怎么判断呢？
其实很多路由上都可以直接看出来，下面我做个示例。

如下图，打开路由web控制页面中的信息检测-arp攻击检测，如下图：
设置完后，如果有arp攻击，就会显示出来，如图，内网IP地址为192.168.101.249有arp攻击：
如果以后内网还有掉线现象，检查一下这里就可以了。

另外，在系统设置-报警设置里也可以设置声音报警，如下图：
这样，以后内网一有攻击，路由就会自动报警了，然后看看arp攻击检测，就可以判断是否有arp 攻击了。

如何查看局域网arp网络状况_局域网arp攻击检测
局域网之间通信就是基于mac地址的广播或多播等方式进行的。

而最主要的通信协议就是arp协议。

查看局域网arp网络状况的方法其实很简单，下面由小编告诉你!
查看局域网arp网络状况的方法
打开桌面，点击开始，在开始中点击运行，输入cmd，回车。

在cmd中输入ipconfig /all ，可以看到本机的IP地址。

本机的IP地址如下：
本机的mac地址如下：
mac地址是由6组16进制数组成的地址数据，共48位数据。

通过在cmd中输入arp -a 可以查看本地存储的arp地址数据。

当局域网中出现arp地址欺骗的时候，可以通过arp -d命令将本地存储的arp地址全部清空，重新获取。

重新查看arp地址列表。

通过重新获取arp地址列表，可以解决网络突然掉线的问题。

主要就是防止别的计算机模拟网关来欺骗本机电脑，本地的数据包数据都放到了别的计算机上，而没有发往网关，因
此也就上不了网了。

arp地址列表一清空，重新获取，恢复正常。

看了如何查看局域网arp网络状况的人还看了
1.局域网断网ARP攻击如何检测和修复
2.怎么追踪并查杀局域网ARP病毒
3.如何在命令行下查看局域网内IP地址
4.局域网受到ARP断网攻击怎么办
感谢您的阅读！。