ARP欺骗故障现象和解决方法

ARP问题处理思路1、什么是ARP欺骗ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网上上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。

此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。

最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》（ARP and ICMP redirection games）。

2、ARP欺骗的症状（1）网络时断时通；（2）网络中断，重启网关设备，网络短暂连通（3）内网通讯正常、网关不通；（4）频繁提示IP地址冲突；（5）硬件设备正常，局域网不通；（6）特定IP网络不通，更换IP地址，网络正常；（7）禁用-启用网卡，网络短暂连通；（8）网页被重定向。

3、如何解决ARP日志中出现的ARP攻击记录ARP欺骗分为两种情况第一种情况：ARP冲突（内网双终端使用相同IP地址与路由通信）解决办法：如果mac地址熟知是哪个终端，直接到对应终端的IPV4上查询是否使用静态IP地址，故意造成冲突存在（解决办法：修改非冲突IP或者使用自动获取即可）。

如果mac地址不熟知，那么可以把IP冲突的两个设备的Mac地址添加到Mac 访问控制里，禁止这两个使用相同IP的终端上网，等待不能上网的人员联系你就OK了哈；或者从物理架构上逐一排查，从一级交换到二级交换逐层拔掉网线，验证拔到哪里时候ARP日志不再次出现，即发现设备，顺网线找到设备核准上述问题情况或者检查内网是否有其他DHCP服务端，未校验分配状态，导致双DHCP工作条件下的IP重复分发（解决办法：关闭其他DHCP服务，同局域网标准仅允许一个DHCP服务）第二种情况：ARP欺骗（一般代指网关冲突），冲突与欺骗分别对应的是所处位置的看法（一般说使用者，也就是上网终端去理解）。

检查和处理“ ARP 欺骗”木马的方法
1、检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：
ipconfig
记录网关IP 地址，即“ Default Gateway ”对应的值，例如“10.87.58.126 ”。

再输入并执行以下命令：
arp –a
在“ Internet Address ”下找到上步记录的网关IP 地址，记录其
对应的物理地址，即“ Physical Address ”值，例如
“00-00-0c-07-ac-0f ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

3 ．设置ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。

用上边介绍的方法确定正确的网关IP 地址和网关物理地址，然后在“命令提示符”窗口中输入并执行以下命令：
arp –s 网关IP 网关物理地址。

ARP攻击与故障排除知识ARP透视——出现ARP欺骗攻击时的现象1、网上银行、游戏及QQ账号的频繁丢失一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。

运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。

2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。

3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。

发贴者dengguo 时间：下午6:390 评论标签：ARP欺骗, ARP欺骗攻击ARP透视——传统的几种解决ARP问题的方式方案一：过滤局域网的IP，关闭高危险的端口，关闭共享。

升级系统补丁，升级杀毒软件。

安装防火墙，设置防ARP的选项。

微软ISA防火墙功能强大，可是很占系统资源。

配置服务器是Linux的强项，当然能阻止部分ARP危害网络。

但是从根本上并没有解决掉ARP的问题，长时间超负荷运转对硬件的损害也显而易见。

方案二：发现乱发ARP包的主机后，即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。

迅速找到主机，断开其网络连接。

检查机器是因为病毒木马发送ARP包破坏网络环境，还是人为的使用ARP的网络管理软件。

既然是使用的网络管理软件，先得询问使用者是否有管理网络的特权。

既然没有特权又为何管理、控制网络呢？方案三：通过高档路由器进行双向绑定，即从路由器方面对从属客户机IP-MAC地址进行绑定，同时从客户机方面对路由器进行IP-MAC地址绑定，双向绑定让IP 不容易被欺骗。

arp欺骗的解决方案1.引言1.1 概述ARP欺骗是一种常见的网络攻击手段，攻击者利用ARP协议的漏洞，通过发送虚假的ARP响应帧来篡改目标主机的ARP缓存表，从而达到欺骗目标主机的目的。

这种攻击会给网络带来严重的安全风险，可能导致数据泄露、网络崩溃甚至入侵。

本文旨在探讨ARP欺骗的解决方案，以帮助用户更好地应对网络攻击。

文章将介绍两种主要的解决方案：使用静态ARP表和使用ARP防火墙。

这两种方案不仅可以帮助用户有效应对ARP欺骗攻击，还能提升网络的安全性和稳定性。

在介绍解决方案之前，我们先对ARP欺骗的原理和危害进行了解和分析。

通过深入理解ARP欺骗攻击的原理，我们能更好地认识到这种攻击对网络安全造成的威胁，进而更好地理解解决方案的重要性和必要性。

接下来，我们将详细介绍解决方案一：使用静态ARP表。

通过使用静态ARP表，用户可以手动将IP地址和MAC地址的映射关系设置为固定值，有效地防止ARP欺骗攻击。

我们将介绍如何正确配置和管理静态ARP 表，并探讨其优势和劣势。

然后，我们将讨论解决方案二：使用ARP防火墙。

ARP防火墙是一种软件或硬件设备，通过监测和过滤网络中的ARP请求和响应，可以检测和阻止恶意ARP欺骗行为。

我们将介绍ARP防火墙的原理和配置方法，以及其在网络安全方面的优势和不足之处。

最后，我们将对本文进行总结，并对所介绍的解决方案进行评价。

我们将从安全性、实用性和成本等方面对这两种解决方案进行评估，以帮助读者全面了解和选择适合自身需求的解决方案。

通过本文的阅读，读者将能够了解ARP欺骗攻击的危害，掌握两种常见的解决方案，并能根据自身的实际情况和需求选择适合的解决方案，提升网络的安全性和稳定性。

1.2 文章结构文章结构部分的内容可以描述文章的整体框架和组织方式，以及各部分的主要内容和目标。

具体内容可以参考以下示例：文章结构：本文主要分为以下几个部分：引言、正文和结论。

引言部分：在引言部分，我们将首先概述ARP欺骗的背景和现状，介绍该问题对计算机网络和信息安全的危害。

局域网中ARP欺骗攻击解决方法当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。

【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

【快速查找】在WebUIà系统状态à系统信息à系统历史记录中，看到大量如下的信息：MAC SPOOF 192.168.16.200MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址）。

同时在安全网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。

如果是在WebUIà系统状态à系统信息à系统历史记录中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址）。

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN（下载地址：/upload/nbtscan.rar）工具来快速查找它。

解决ARP欺骗方法解决ARP欺骗方法想必大家在局域网中都会遇到这个问题，如果局域网中存在一台收到恶意程序感染，整个局域网的网速突然大幅下降，同时伴随着网络中断或者网页被夹杂了广告发送到了浏览器上，当发生这种事情时，企业的网络管-理-员就要小心了，请速度排查局域网中是否有Arp欺骗行为发生，及时找到相应的计算机处理威胁。

对于一些网络管理较为松散或者根本无人管理的或者疏于管理的小型局域网，如学校网络或者宿舍网络。

童鞋们可能比较头痛吧，不过在看了本文后，您就可以立即解决此问题，本文将详细的给出 Anti-Arp欺骗的解决方案。

虽然是单向绑定，但是跟使用相关专业软件具有同样的效果。

彻底解决ARP欺骗的方法就是实现交换机/路由器（网关）与计算机网卡在 IP 地址与MAC地址上进行双向绑定。

由于童鞋们无法操作交换机/路由器，所以本文仅详细介绍单向绑定（绑定本地计算机与网关）。

进行单向绑定后，ARP欺骗将会远离你。

1，单击“开始”菜单，鼠标箭头指向“运行”，出现运行窗口，在该窗口内键入“cmd”后回车。

2，在打开的“命令提示符”窗口内键入：arp -a 命令会出现如下图所示的内容：其中显示的：192.168.1.1 是网关IP地址；94-0c-6d-50-87-62 是网关的MAC地址请记录下这两个地址。

注意，记录时MAC地址大小写要一致，我这里的网关MAC地址及IP地址可能与您这里不同，请根据实际情况记录。

3，单击“开始”菜单，鼠标箭头指向“运行”，出现运行窗口，在该窗口内键入“notepad”后回车(即打开记事本程序)。

在打开的“记事本”程序内输入如下命令： arp -s 192.168.1.1 94-0c-6d-50-87-624，单击“文件”下拉菜单，选择“另存为”命令，在打开的“另存为”窗口内，文件名处输入“Anti-ARP command.bat”，请注意，无论您取什么名字，但是后缀名必须为.（点）bat，然后将文件保存到启动文件夹下对于XP系统而言启动文件夹位于：C:\Documents and Settings\“您的`用户账户名”\「开始」菜单\程序\启动\对于Vista、win7系统而言启动文件夹位于：C:\Users\“您的用户账户名”\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\如您所看到的，“您的用户账户名”是值的您当前用户账户名称，我的用户账户名称是 Wesly.Zhang。

解决和防患局域网内Arp欺骗当局域网种存再ARP欺骗包的话，总的来说有主要又这么两种可能。

一、有人恶意破坏网络。

这种事情，一般会出现在网吧，或是一些人为了找到更好的网吧上网座位，强行让别人断线。

又或是通过ARP欺骗偷取内网帐号密码。

二，病毒木马如：传奇网吧杀手等，通过ARP欺骗网络内的机器，假冒网关。

从而偷取对外连接传奇服务器的密码。

ARP欺骗的原理如下：假设这样一个网络，一个交换机接了3台机器HostA HostB HostC 其中A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA －－－－－－－－－网关B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB －－－－－－－－黑客C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC －－－－－－－－－被欺骗者正常情况下C:\arp -aInterface: 192.168.1.3 on Interface 0x1000003Internet Address Physical Address Type192.168.1.1 BB-BB-BB-BB-BB-BB dynamic现在假设HostB开始了罪恶的ARP欺骗：假冒A像c发送ARP欺骗包B向C发送一个自己伪造的ARP欺骗包，而这个应答中的数据为发送方IP地址是192.168.1.1（网关的IP地址），MAC地址是BB-BB-BB-BB-BB-BB (A的MAC地址本来应该是AA-AA-AA-AA-AA-AA，这里被伪造了）。

当C接收到B伪造的ARP应答，就会更新本地的ARP缓存（C可不知道被伪造了）。

而且C不知道其实是从B发送过来的，这样C 就受到了B的欺骗了，凡是发往A的数据就会发往B，这时候那么是比较可怕的，你的上网数据都会先流向B,在通过B去上网，如果这时候B上装了SNIFFER软件，那么你的所有出去的密码都将被截获。

1ARP病毒爆发解决【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和交换机，让所有上网的流量必须经过病毒主机。

病毒主机在局域网中发送假的APR 应答包进行APR欺骗，造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址，导致无法上网和正常的局域网通信。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从交换机上网（此时交换机MAC地址表正常），切换过程中用户会再断一次线。

该病毒发作时，仅影响同网段内机器的正常上网。

【故障分析与解决】(1)清空ARP缓存:大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。

一般来说ARP欺骗都是通过发送虚假的MAC地址与IP 地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。

若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：⏹第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；⏹第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；⏹第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。

如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。

但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。

下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。