ARP类病毒的解决方案

防止arp欺骗木马病毒小案例一．Arp病毒简介近期，一种新的“ARP欺骗”木马病毒（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）在互联网上扩散，不少客户局域网中都已发现机器感染此病毒，表现为用户频繁断网、线路严重丢包，IE浏览器频繁出错以及一些常用软件出现故障等问题。

Arp欺骗原理要谈ARP欺骗，首先要说一下arp的运行机制，通常主机发送一个ip包之前，它要到自己的ARP缓存表中寻找是否有目标主机的IP地址，如果找到了，也就知道了目标主机的MAC地址，然后直接发送；如果没有找到，该主机就发送一个ARP广播包目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“xxx.xxx.xxx.xx1的MAC地址是什么？”ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"这样，主机A就知道了主机B的MAC地址，可以通信了。

同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，可以直接在ARP缓存表里查找。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

当我们设定一个目标进行ARP欺骗时，也就是设置一主机C捕获主机A发送给主机B 的通信数据包，如果C能够接收到A发送的数据包，那么第一步嗅探成功了。

但是主机A 并没有意识到主机B没有接受到主机A发送的数据包。

假如主机C进行ICMP重定向，那么他可以直接进行整个包的修改，捕获到主机A发送给主机B的数据包，全部进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。

这样主机C就完成了ARP欺骗。

中毒现象当某台主机中了这类ARP欺骗的病毒/木马程序后，会不定期发送仿冒的ARP响应数据报文。

这种报文会欺骗所在网段的主机和交换机，让其他用户上网的流量必须经过病毒主机。

arp病毒解决方案
《ARP病毒解决方案》
ARP病毒是一种常见的网络安全威胁，它会干扰网络通信，
窃取数据甚至瘫痪整个网络。

为了解决ARP病毒的威胁，我
们需要采取一系列的解决方案来保护网络安全。

首先，我们可以使用反病毒软件来扫描和清除已经感染的设备。

这可以帮助我们及时发现和清除ARP病毒，防止它继续传播
和造成更严重的危害。

另外，我们还可以加强网络的安全策略，比如设置访问控制列表（ACL）和网络隔离，限制不必要的网络流量和提高网络访问的安全性。

此外，定期更新网络设备的固件和软件也是一种有效的防范措施。

通过更新设备的操作系统和补丁，可以修复一些已知的安全漏洞和提升设备的抗攻击能力。

同时，我们还可以加强对网络管理员的培训和意识教育，提醒他们关注网络安全，并且学会正确地处理和应对网络安全威胁。

最后，我们还可以考虑使用一些网络安全设备，比如入侵检测系统（IDS）和入侵防御系统（IPS），来实时监控和防御网
络中的异常行为。

这些安全设备可以帮助我们发现和阻止
ARP病毒的攻击，及时防范网络安全威胁。

总之，要解决ARP病毒的威胁，我们需要采取一系列综合的
措施来提升网络安全性，包括使用反病毒软件、加强网络安全策略、定期更新网络设备、加强网络管理员的培训和意识教育，
以及使用网络安全设备等。

通过这些措施的综合使用，我们可以更好地保护网络安全，避免ARP病毒的威胁对网络造成严重危害。

ARP病毒的解决措施1、清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。

一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC 地址与IP地址对应关系取代正确的对应关系。

若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。

如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。

但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。

下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。

2、指定ARP对应关系：其实该方法就是强制指定ARP对应关系。

由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP 地址为192.168.2.1。

指定ARP对应关系就是指这些地址。

在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式；第二步：使用arp -s命令来添加一条ARP地址对应关系，例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。

ARP攻击和防范1．前言很多文章针对ARP协议的原理和缺点进行了描述。

但是并没有全面提出ARP 的攻击，防护策略。

本文就网络针对性解决方法作一些阐述。

内容包括：ARP Flooding的攻击与防范中间人欺骗的攻击与防范ARP Spoofing（ARP病毒）的攻击与防范2．ARP协议的原理和缺点。

在以太网中传输的数据包是以太包，而以太包的寻址是依据其首部的物理地址（MAC 地址）。

仅仅知道某主机的逻辑地址（IP 地址）并不能让内核发送一帧数据给此主机，内核必须知道目的主机的物理地址才能发送数据。

ARP 协议的作用就是在于把逻辑地址变换成物理地址，也既是把32bit 的IP 地址变换成48bit 的以太地址。

每一个主机都有一个ARP 高速缓存，此缓存中记录了最近一段时间内其它IP 地址与其MAC 地址的对应关系。

如果本机想与某台主机通信，则首先在ARP 高速缓存中查找此台主机的IP 和MAC 信息，如果存在，则直接利用此MAC 地址构造以太包；如果不存在，则向本网络上每一个主机广播一个ARP 请求包，其意义是"如果你有此IP 地址，请告诉我你的MAC 地址"，目的主机收到此请求包后，发送一个ARP 响应包，本机收到此响应包后，把相关信息记录在ARP 高速缓存中，以下的步骤同上。

可以看出，ARP 协议是有缺点的，第三方主机可以构造一个ARP 欺骗包，而源主机却无法分辨真假。

按照RFC 的规定，PC 在发ARP 响应时，不需要一定要先收到ARP 请求报文，局域网中任何一台PC 都可以向网络内其它PC 通告：自己就是PC A 和MAC A 的对应关系，这就给攻击者带来可乘人之危的漏洞，如下图所示：下面就以下三种常见的网络攻击逐一进行介绍。

●ARP Flooding的攻击与防范●中间人欺骗的攻击与防范●ARP Spoofing（ARP病毒）的攻击与防范。

3．1 ARP Flooding的攻击与防范ARP Flooding又叫MAC Flooding，即我们所说的MAC地址泛洪。

ARP欺骗类病毒该如何防御在计算机技术和网络技术日渐发展的当今时代，在数据处理生产运营中普遍使用网络技术。

保护网络环境安全，对于企业的发展具有深远影响。

特别是对ARP欺骗类病毒高度重视，避免由于ARP欺骗类病毒的影响而造成企业受损。

通过对如何防御ARP欺骗类病毒进行研究分析，希望能够为相关人员提供一定的理论借鉴。

标签：ARP 欺骗类病毒防御前言：ARP全称为Address Resolution Protocol，地址解析协议。

ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。

ARP欺骗主要指的是，利用ARP协议中存在的漏洞，将伪造过的虚假ARP报文发送到目标主机设备，进而实现截取目标主机数据、或者监听主机数据的攻击方式。

ARP欺骗具有一定的随机性、以及隐蔽性等特点，ARP欺骗工具广泛的存在于网络环境中，进而致使ARP欺骗更加普遍。

现阶段，很多木马病毒利用ARP欺骗，广泛传播于网络中，严重影响网络的安全运行。

特别是在企业内部局域网络中，ARP欺骗更是屡次出现，如果某台计算机感染ARP欺骗类病毒程序，将会发送伪造过的ARP相应报文，严重影响网络环境的稳定。

一、ARP的主要攻击类型攻击类型主要包括以下两种：冒充主机欺骗网关和冒充网关欺骗主机[1]。

1.冒充主机欺骗网关可以将源MAC地址设置为MAC_C，将源IP地址设置为IP_A，攻击主机C 发出一个报文。

从而所有向主机A发送的报文，都会由攻击主机C所接收，而且中断了网络同真实主机A的直接通信关系。

如果攻击主机C持续地根据自身的MAC地址，与其他主机IP地址作为源地址进行ARP包的发送，那么除了攻击主机C，网关将无法直接通信网段内的所有主机[2]。

在此种背景下，交换机无法记录任何的报警日志，主要是交换机认为多个IP地址对应一个MAC地址正常可行，对其他利用IP对应的MAC交付报文不会造成任何影响。

如果将网关ARP缓存中的MAC地址进行更改，使之换成原本就不存在的地址，则网关所发送出来的网络数据帧将会全部丢失，致使上层急于处理此种异常情况，而无法对外来请求进行解决，最终使得网关不提供任何服务。

arp攻击与防护措施及解决方案为有效防范ARP攻击，确保网络安全，特制定ARP攻击与防护措施及解决方案如下：1.安装杀毒软件安装杀毒软件是防范ARP攻击的第一步。

杀毒软件可以帮助检测和清除ARP病毒，保护网络免受ARP攻击。

在选择杀毒软件时，应确保其具有实时监控和防御ARP攻击的功能。

2.设置静态ARP设置静态ARP是一种有效的防护措施。

通过在计算机上手动设置静态ARP表，可以避免网络中的ARP欺骗。

在设置静态ARP时，需要将计算机的MAC地址与IP地址绑定，以便在接收到ARP请求时进行正确响应。

3.绑定MAC地址绑定MAC地址可以防止ARP攻击。

在路由器或交换机上，将特定设备的MAC地址与IP地址绑定，可以确保只有该设备能够通过ARP协议解析IP地址。

这种绑定可以提高网络安全性，避免未经授权的设备接入网络。

4.限制IP访问限制IP访问可以防止ARP攻击。

通过设置访问控制列表(ACL),可以限制特定IP地址的网络访问权限。

这样可以避免网络中的恶意节点发送ARP请求，确保网络通信的安全性。

5.使用安全协议使用安全协议可以进一步提高网络安全性。

例如，使用IEEE802.IX协议可以验证接入网络的设备身份，确保只有授权用户可以访问网络。

此外，还可以使用其他安全协议，如SSH或VPN等，以加密网络通信，防止A RP攻击。

6.配置网络设备配置网络设备是防范ARP攻击的重要环节。

在路由器、交换机等网络设备上，可以设置ARP防护功能，例如ARP欺骗防御、ARP安全映射等。

这些功能可以帮助识别并防御ARP攻击，保护网络免受ARP 病毒的侵害。

7.定期监控网络定期监控网络是确保网络安全的有效手段。

通过监控网络流量、异常IP连接等指标，可以及时发现ARP攻击的迹象。

一旦发现ARP 攻击，应立即采取措施清除病毒，修复漏洞，并重新配置网络设备以确保安全性。

8.制定应急预案制定应急预案有助于快速应对ARP攻击。

应急预案应包括以下几个方面:(1)确定应急响应小组：建立一个专门负责网络安全问题的小组，明确其职责和权限。

ARP攻击防制的基本方法_路由器怎么抵御ARP病毒ARP欺骗/攻击反复袭击，是近来网络行业普遍了解的现象，随着ARP攻击的不断升级，不同的解决方案在市场上流传。

这里小编解释了ARP攻击防制的基本思想。

我们认为读者如果能了解这个基本思想，就能自行判断何种防制方式有效，也能了解为何双向绑定是一个较全面又持久的解决方式。

不坚定的ARP协议一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。

ARP攻击的原理，互联网上很容易找到，这里不再覆述。

原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。

这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。

就像一个没有计划的快递员，想要送信给“张三”，只在马路上问“张三住那儿？”，并投递给最近和他说“我就是！”或“张三住那间！”，来决定如何投递一样。

在一个人人诚实的地方，快递员的工作还是能切实地进行；但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。

我们再回来看ARP攻击和这个意志不坚定快递员的关系。

常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。

攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。

针对ARP攻击的防制方法1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防制的效果。

2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。

3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。

解决局域网中某台电脑中毒导致网速变慢的问题一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢，或者突然掉线时，我们可以用arp-命令来检查ARP表：（点击“开始”按钮 - 选择“运行” - 输入“cmd” 点击"确定"按钮，在窗口中输入“arp -a”命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。

2、利用Anti ARP Sniffer软件查看（详细使用略）。

二、找出ARP病毒主机1、用“arp –d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。

通过上面的arp –a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。

哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig/all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以取到PC的真实IP地址和MAC地址。

命令：“nbtscan -r 192.168.80.0/24”（搜索整个192.168.80.0/24网段, 即192.168.80.1-192.168.80.254）；或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 网段，即192.168.80.25-192.168.80.137。

输出结果第一列是IP地址，最后一列是MAC地址。

这样就可找到病毒主机的IP地址。

2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert –d ，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。

当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。

ARP病毒专杀工具,ARP病毒入侵原理和解决方案【故障原因】局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。

【故障原理】要了解故障原理，我们先来了解一下ARP协议。

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。

ARP协议对网络安全具有重要的意义。

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。

主机IP地址MAC地址A 192.168.16.1 aa-aa-aa-aa-aa-aaB 192.168.16.2 bb-bb-bb-bb-bb-bbC 192.168.16.3 cc-cc-cc-cc-cc-ccD 192.168.16.4 dd-dd-dd-dd-dd-dd我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。

当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。

如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。

什么是ARP攻击？ARP攻击是什么意思？ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

一般情况下，受到ARP攻击的计算机会出现两种现象：1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

2.计算机不能正常上网，出现网络中断的症状。

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。

因此普通的防火墙很难抵挡这种攻击。

ARP病毒问题的处理ARP病毒问题的处理说明:故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

故障原因：这是APR病毒欺骗攻击造成的。

引起问题的原因一般是由传奇外挂携带的ARP木马攻击。

当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。

临时处理对策：步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC 地址，将其记录下来。

注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。

步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。

手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后输出如下：C:\Documents and Settings>arp -aInterface: 218.197.192.1 --- 0x2Internet Address Physical Address Type218.197.192.254 00-01-02-03-04-05 dynamic其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。

局域网中了arp病毒怎么办局域网中了arp病毒怎么办？arp 病毒的症状有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误;局域网内的arp 包爆增，使用arp 查询的时候会发现不正常的mac 地址，或者是错误的mac 地址对应，还有就是一个mac 地址对应多个ip 的情况也会有出现。

arp 攻击的原理arp 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和arp 数据包的协议地址不匹配。

或者，arp数据包的发送和目标地址不在自己网络网卡mac 数据库内，或者与自己网络mac 数据库mac/ip 不匹配。

这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

现在有网络管理工具比如网络执法官、p2p 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。

处理办法通用的处理流程：1 .先保证网络正常运行方法一：编辑个***.bat 文件内容如下：arp.exe s**.**.**.**(网关ip) ************(网关mac 地址)end让网络用户点击就可以了!办法二：编辑一个注册表问题，键值如下：windows registry editor version5.0[hkey_local_machine\software\microsoft\windows\curren tversion\run]“mac“=“arp s网关ip 地址网关mac 地址“然后保存成reg 文件以后在每个客户端上点击导入注册表。

找到感染arp 病毒的机器。

a：在电脑上ping 一下网关的ip 地址，然后使用arp -a 的命令看得到的网关对应的mac 地址是否与实际情况相符，如不符，可去查找与该mac 地址对应的电脑。

arp攻击怎么解决办法
很多服务器都会存在arp攻击而很多用户都不懂arp攻击是一种什么形式的攻击，要怎么解决避免受到arp攻击，今天我就来给大家一起来讲讲。

arp攻击释义
ARP英文全称为Address Resolution Protocol(中文解释为地址解析协议)，是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。

ARP 攻击是局域网最常见的一种攻击方式。

在云主机下的服务器是存在有局域网的，我们通常理解为服务器内网，那么怎么解决攻击问题呢，一起往下看。

arp攻击解决办法
1、静态绑定
将IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。

通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。

2、使用防护软件
目前关于ARP类的防护软件出的比较出众的大众熟知的就是服务器，出色的arp防火墙能够帮助用户抵御绝大数来源于局域网的病毒攻击，并且支持一键开启免受繁琐设置，在安全防护软件中是值得下载安装使用的一款免费软件。

以上就是arp攻击怎么解决办法的全部内容，希望对用户有帮助。

—1 —。

0引言计算机网络的普及给人们带来了很多便利，保障计算机网络的稳定运行也就成了一个重要的事情。

影响计算机网络的因素很多，本文就计算机网络中特别是局域网中出现频率较高的ARP 病毒为例，浅析ARP 病毒及防御措施，希望能够对从事局域网维护和管理工作的技术人员有所帮助。

1什么是ARP 病毒ARP 病毒是对利用ARP 协议中的漏洞进行传播的一类病毒的总称，而并不是特指某一种病毒。

ARP 协议可将网络地址翻译成物理地址，属于TCP/IP 协议组的一个协议。

一般来说，其攻击手段主要包括网关欺骗和路由欺骗两种。

其对电脑用户的私密信息安全存在较大威胁，是一种入侵电脑的木马病毒。

2ARP 病毒的危害ARP 病毒是一种网络欺骗病毒，最终危害是让计算机不能上网。

ARP 欺骗主要分为两类，一是对内网计算机的网关欺骗；二是对路由器ARP 表的欺骗。

第一种ARP 欺骗的原理是———伪造网关。

其原理通过建立假网关，让被欺骗的计算机无法通过正常的路由器途径上网，且向假网关发数据。

具体体现在个人计算机上即为：上不了网了，“网络掉线了”。

第二种ARP 欺骗的原理是———截获网关数据。

其通知路由器一系列错误的内网MAC 地址，按照一定频率持续不断进行，无法将真实的地址信息更新保存在路由器上，迫使路由器的所有数据只能发送给错误的MAC 地址，影响计算机的正常使用，造成断网现象。

3ARP 病毒的防御措施ARP 病毒的防御是我们对局域网进行维护和管理中的一项重要工作。

ARP 病毒时常困扰无数网络管理人员，由于ARP 病毒的种种网络特性，可以采取一些技术手段进行防范。

3.1实行上网计算机IP 地址和网卡MAC 地址绑定的方法上网计算机IP 地址和网卡MAC 地址绑定的方法，对于防御ARP 病毒十分有效。

具体做法是计算机上采用静态分配IP 地址方式，利用路由器捆绑局域网中所有主机的MAC 地址和IP 地址，现在绝大部分路由器支持该功能。

如果局域网的网络规模较小，建议采用静态分配IP 地址方式来分配IP 地址。

用抓包的方法解决ARP病毒欺骗攻击实例对于ARP攻击，一般常规办法是很难找出和判断的，需要抓包分析。

通过抓取网络的所有数据进行分析我得出了分析结果：诊断视图提示有太多“ARP无请求应答”。

现在基本确定为ARP 欺骗攻击……AD：51CTO推荐：ARP攻击防范与解决方案最近网络中有主机频繁断线，刚刚开始还比较正常，但是一段时间后就出现断线情况，有时很快恢复，但是有时要长达好几分钟啊，这样对工作影响太大了。

最初怀疑是否是物理上的错误，总之从最容易下手的东西开始检查，检查完毕后没有发现异常！突然想到目前网上比较流行的ARP攻击，ARP攻击出现的故障情况与此非常之相似！对于ARP攻击，一般常规办法是很难找出和判断的，需要抓包分析。

1.原理知识在解决问题之前，我们先了解下ARP的相关原理知识。

ARP原理：首先，每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。

当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP 列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。

此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。

如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。

如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

最近流行的ARP病毒彻底清除方法1、删除”病毒(一种具有隐蔽性破坏性传染性的恶意代码)组件释放者”程序：“%windows%\System32\LOADHW.EXE”（window xp系统目录为：“C:\WINDOWS\System32\LOADHW.EXE”）2、删除”发ARP欺骗包的驱动(驱动程序即添加到操作系统中的一小块代码，其中包含有关硬件设备的信息)程序”(兼“病毒(一种具有隐蔽性破坏性传染性的恶意代码)守护程序”)：“%windows%\System32\drivers\npf.sys”（window xp系统目录为：“C:\WINDOWS\System32\drivers\npf.sys”）2、npf.sys病毒手工清除方法3、病毒的查杀有很多种方式，下面就让我们来介绍一下手工查杀的方法。

4、npf.sys(%system32/drivers/npf.sys)是该npf病毒主要文件，病毒修改注册表创建系统服务NPF实现自启动，运行ARP欺骗，在病毒机器伪造MAC地址时，不停地向各个机器发送ARP包堵塞网络，使得传输数据越来越慢，并且通过伪掉线来使用户重新登陆游戏，这样它就可以截取局域所有用户登陆游戏时的信息数据。

5、该病毒往往造成网络堵塞，严重时造成机器蓝屏!!!!。

开始杀毒:6、1.首先删除%system32/drivers/下的npf.sys文件7、2.进入注册表删除8、HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf服务。

9、同时删除10、11、12、13、14、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY-NPFHKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/Root/LEGACY-NPF3.删这两键时，会提示无法删除，便右键，权限，设everyone控制，删除。