局域网中了ARP病毒不断遭到攻击怎么查出是哪个机器中的病毒

ARP攻击内网的网络现象：
突发性瞬间断线，快速连上，期间上网速度越来越慢，一段时间又瞬间断线。

ARP攻击内网诊断：
1、断线时（ARP攻击木马程序运行时）在内网的PC上执行ARP –a 命令，看见网关地址的mac地址信息不是路由器的真实mac地址；
2、内网如果安装sniffer软件的话，可以看到ARP攻击木马程序运行时发出海量的ARP查询信息。

内网被攻击原因：
ARP攻击木马程序（传奇盗号木马）运行时，将自己伪装成路由器，所有内网用户上网从由路由器上网转为从中毒电脑上网，切换过程中用户会断一次线。

过程用户感觉上网非常慢。

当ARP攻击木马程序停止运行时，所有内网用户上网又从由中毒电脑上网转为从路由器上网，切换过程中用户会再断一次线。

在HiPER上的快速诊断：
1、系统状态—系统信息—系统历史纪录内，可以看见大量的mac地址变化信息，且mac地址都变化成进行
ARP攻击那台电脑的mac地址，或者由同一mac地址变回原来的真实mac地址。

MAC Chged 10.128.103.124 */该IP地址的MAC地址发生变化MAC Old 00:01:6c:36:d1:7f */变化前的MAC地址
MAC New 00:05:5d:60:c7:18 */变化后的MAC地址
2、断线时（ARP攻击木马程序运行时），在系统状态—用户统计中，观察到的所有用户的mac地址一致。

内网ARP攻击解决办法：
1、将感染病毒的PC从内网断开，查杀病毒。

2、在PC和路由器上双向绑定对方的IP和MAC地址。

快速确认内网ARP攻击的方法就为大家介绍完了，希望通过以上的介绍能够帮助到大家。

如何能够快速检测定位出局域网中的ARP病毒电脑？面对着局域网中成百台电脑，一个一个地检测显然不是好办法。

其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。

识别ARP可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确的网关IP地址和MAC地址，并且实时监控来自全网的ARP数据包。

当发现有某个ARP数据包广播，来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候，ARP欺骗发生了。

对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。

一般情况下，被ARP被攻击后，局域网内会出现以下两种现象：1、不断弹出―本机的XXX段硬件地址与网络中的XXX段地址冲突‖的对话框。

2、计算机不能正常上网，出现网络中断的症状。

很多管理员认为有高级功能防火墙，可以得到相应的保护，恰恰相反，防火墙会误以为这是正常的请求数据包，不予拦截。

由此而见，需要我们找到问题根源，找到源头，才能真正解决问题所在。

当你的局域网内出现上面症状后，根据局域网大小，方可使用以下三种方法来检测ARP中毒电脑：检测ARP攻击一、工具软件法：网上已经有很多ARP病毒定位工具软件，目前网络中做得较好的是ARP防火墙。

打开ARP防火墙，输入网关IP地址后，再点击红色框内的―枚举MAC‖按钮，即可获得正确网关的MAC地址，接着点击―自动保护‖按钮，即可保护当前网卡与网关的正常通信。

当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。

这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。

二、命令行法：在受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，在cmd命令提示行下输入查询命令为arp －a。

三种方法找出内网的ARP攻击源用户咨询：内网有电脑中了ARP病毒，但是网络拓扑比较复杂、电脑数量较多，排查起来很困难。

有什么方法可以找出ARP攻击源？排查方法：1.使用Sniffer抓包。

在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。

如果发现有某个IP不断发送请求包，那么这台电脑一般就是病毒源。

原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。

最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。

前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

2. 使用arp -a命令。

任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。

例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。

原理：一般情况下，网内的主机只和网关通信。

正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。

如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。

如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

3. 使用tracert命令。

在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert61.135.179.148。

假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。

原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。

所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。

如何精确定位进行ARP攻击找到攻击源头1．定位ARP攻击源头主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。

定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。

标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。

这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。

被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。

也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC 地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC 地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。

输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：假设查找一台MAC地址为“000d870d585f”的病毒主机。

1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。

局域网ＡＲＰ病毒入侵检测与解决方案作者：胡风新丁辉管羽来源：《硅谷》2009年第14期[摘要]针对公司办公局域网由于ARP病毒造成导致网络不正常和影响办公的问题，进行系统的分析，了解ARP病毒的原理，以快速、准确地找到中毒计算机为关键内容，查找解决预防ARP病毒的方案论述，有效的保证公司办公网络的运行稳定。

[关键词]ARP欺骗 MAC地址网关病毒主机中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2009）0720044－01一、背景与目标随着计算机办公自动化系统的普及与发展，我们日常工作办公越来越多地依靠计算机网络系统进行信息的互换与共享。

可靠、高速的计算机网络环境不仅是企业内部的通信渠道，而且成为了办公自动化的基础，能够促进企业各环节间进行有效的协作和交流。

我们管理的网络是一个星型结构局域网（设计为1144个终端用户），公司内部现接入局网微机约有150台，还有两个外围单位通过光纤接入内部网络10台微机。

今年我们在管理时发现，网络经常出现异常情况：使用局域网工作时时会突然掉线，过一段时间后又恢复正常；微机频繁断网，IE浏览器频繁出错，造成办公系统无法正常使用；一些常用软件出现故障；有时使用身份认证登陆一些管理界面时，出现能够通过认证，但是无法正常使用；使用命令PING网关丢包严重，内部地址PING值正常。

在短短的一个月中间，公司办公局网频繁出现这类的现象，严重的影响了正常的办公网络环境。

通过我们的研究讨论后认为，出现这类现象的主要原因是网络中存在ARP病毒，如何能快速、准确地找到中毒计算机并及时解决成为了我们心中的目标。

二、ARP病毒故障原理及表现要解决这些问题，我们首先了解一下ARP病毒。

在局域网中，通过ARP协议来将IP地址解析为第二层物理地址（即MAC地址）。

ARP协议对网络安全具有重要的意义。

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中使大量数据被送到错误的MAC地址上，造成网络故障。

arp攻击(arp攻击解决办法)如果你发现经常网络掉线，或者发现自己的网站所有页面都被挂马，但到服务器上，查看页面源代码，却找不到挂马代码，就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。

除了装ARP防火墙以外，还可以通过绑定网关的IP和MAC来预防一下。

如果你发现经常网络掉线，或者发现自己的网站所有页面都被挂马，但到服务器上，查看页面源代码，却找不到挂马代码，就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。

除了装ARP防火墙以外，还可以通过绑定网关的IP和MAC来预防一下。

这个方法在局域网中比较适用：你所在的局域网里面有一台机器中了ARP病毒，它伪装成网关，你上网就会通过那台中毒的机器，然后它过一会儿掉一次线来骗取别的机器的帐户密码什么的东西。

下面是手动处理方法的简要说明：如何检查和处理“ ARP 欺骗”木马的方法1．检查本机的“ ARP 欺骗”木马染毒进程同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2．检查网内感染“ ARP 欺骗”木马染毒的计算机在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：ipconfig记录网关IP 地址，即“Default Gateway ”对应的值，例如“ 59.66.36.1 ”。

再输入并执行以下命令：arp –a在“ Internet Address ”下找到上步记录的网关IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

局域XXRP病毒随着计算机技术和Internet技术的不断推广应用,XX络逐渐成为人们日常生活中不可缺少的部分。

通过XX络人们可以完成扫瞄信息、收发邮件、远程信息治理、与外界进行电子商务交易等活动。

但是由于XX络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及XX络边界的不可知性,XX络中必定存在众多潜在的安全隐患。

近年来,针对XX络的攻击也在不断增加,其中利用RP协议漏洞对XX络进行攻击就是其中的一种重要方式。

一、RP病毒现象1.局域XX内频繁性地区域或整体掉线,重启计算机或XX络设备后恢复正常。

当带有RP欺骗程序的计算机在XX内进行通讯时,就会导致频繁掉线。

出现此类问题后重启计算机或禁用XX卡会临时解决问题,但掉线情况还会发生。

2.XX速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。

当局域内的某台计算机被RP的欺骗程序非法侵入后,它就会持续地向XX内所有的计算机及XX络设备发送大量的非法RP 欺骗数据包,堵塞XX络通道。

造成XX络设备的承载过重,导致XX络的通讯质量不稳定。

用户会感觉上XX速度越来越慢或时常断线。

当RP欺骗的木马程序停止运行时,用户会恢复从路由器上XX,切换过程中用户会再断一次线。

二、RP病毒攻击方式1.中间人攻击。

中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间,使他的主机如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信。

2.拒绝服务攻击。

拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。

3.克隆攻击。

攻击者首先对目标主机实施拒绝服务攻击,使其不能对外界作出任何反应。

然后攻击者就可以将自己的IP与MC 地址分别改为目标主机的IP与MC地址,这样攻击者的主机变成了与目标主机一样的副本。

三、RP病毒攻击原理RP欺骗的核心思想就是向目标主机发送伪造的RP应答,并使目标主机接收应答中伪造的IP地址与MC地址之间的映射对,以此更新目标主机RP缓存。

ARP网络攻击解决方案：如何查找攻ARP攻击现在经常发生，遇到这些问题怎么办呢？请看下面笔者给出的解决方法！前段时间经常有用户打电话抱怨上网时断时续，有时甚至提示连接受限、根本就无法获得IP（我们单位用的是动态IP）。

交换机无法ping通，而指示灯状态正常。

重启交换机后客户机可以上网，但很快又涛声依旧！严重影响了用户使用，甚至给用户造成了直接经济损失，（我们单位很多人都在炒股、炒基金，由于无法及时掌握行情，该出手时无法出手。

）根据用户描述的情形和我们多次处理的经验，可以肯定是由于网络中存在ARP攻击（ARP欺骗）所致。

至于什么是ARP攻击，我就不用再说了吧。

知道了问题所在，但如何解决呢？虽然可以采用在交换机绑定MAC地址和端口、在客户机绑定网关IP和MAC地址的“双绑”办法预防，但由于网管的工作量太大，且不能保证所有的用户都在自己的电脑上绑定网关IP和MAC地址，所以我们采取以下措施来预防和查找ARP攻击。

我们推荐用户在自己的电脑上安装ColorSoft开发的ARP防火墙（原名Anti ARP Sniffer），该软件通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障安装该软件的电脑正常上网；拦截外部对本机的ARP攻击和本机对外部的ARP攻击。

如果发现内部ARP攻击，直接处理本机就行了；如果发现外部ARP攻击，则根据实际情况通过攻击者的IP地址和/或MAC地址查找该攻击者电脑。

好了，让我们一起行动吧。

1、在同一网段的电脑下载ARP防火墙()、安装、运行。

第一天，一切正常，没发现攻击行为。

第二天，开机不到半小时就发现了ARP攻击，如图1。

图1 ARP防火墙发现外部ARP攻击2、为了不冤枉好人，进一步确认攻击者的MAC地址。

进入核心交换机，查看该网段的MAC地址表。

我们的核心交换机是华为的，键入命令“Display arp vlan xx”（xx为所要查找ARP攻击网段的VLAN号），回车。

如何查看局域网arp网络状况_局域网arp攻击检测
局域网之间通信就是基于mac地址的广播或多播等方式进行的。

而最主要的通信协议就是arp协议。

查看局域网arp网络状况的方法其实很简单，下面由小编告诉你!
查看局域网arp网络状况的方法
打开桌面，点击开始，在开始中点击运行，输入cmd，回车。

在cmd中输入ipconfig /all ，可以看到本机的IP地址。

本机的IP地址如下：
本机的mac地址如下：
mac地址是由6组16进制数组成的地址数据，共48位数据。

通过在cmd中输入arp -a 可以查看本地存储的arp地址数据。

当局域网中出现arp地址欺骗的时候，可以通过arp -d命令将本地存储的arp地址全部清空，重新获取。

重新查看arp地址列表。

通过重新获取arp地址列表，可以解决网络突然掉线的问题。

主要就是防止别的计算机模拟网关来欺骗本机电脑，本地的数据包数据都放到了别的计算机上，而没有发往网关，因
此也就上不了网了。

arp地址列表一清空，重新获取，恢复正常。

看了如何查看局域网arp网络状况的人还看了
1.局域网断网ARP攻击如何检测和修复
2.怎么追踪并查杀局域网ARP病毒
3.如何在命令行下查看局域网内IP地址
4.局域网受到ARP断网攻击怎么办
感谢您的阅读！。

局域网ARP攻击的发现与解决浅析ARP病毒攻击是一个令人非常头痛的问题，但是，如果能够快速检测定位出局域网中的ARP 病毒电脑呢，那么结果就完全不一样了？（注：本人菜鸟一枚，写得不好的地方万望海涵！）很多人可能都有过这样的经历，在酒店或者宾馆住宿的时候，感觉网络出奇的卡，用手机打开个网页都卡得不行。

在目前这种WIFI网络盛行的年代，好一点的宾馆或者酒店一般都会有独立的千兆、万兆光纤专线，次一点的也该是百兆进线；就算满负荷运行，均分到各端口的速率也应该不会低于50KB/S，那么为何会出现这样严重的网络拥塞现象呢？我们从以下几个方面出发探究一下：发现ARP攻击-----------定位ARP攻击-----------解决ARP攻击(1)如何发现ARP攻击？发现ARP攻击其实不难，至少并不像想象的那么难；细细总结了一下方法还是比较多的。

一、360卫士篇打开360卫士---------点击右侧功能大全更多---------选择流量防火墙--------选择局域网防护------------开启局域网防护如果存在ARP欺骗那么该软件会快速弹出提示。

如果手上刚好没有这个软件那怎么怎么办呢？别急，还有办法。

二、DOS命令篇选择计算机开始运行输入CMD 回车输入Arp –a 查看ARP缓存表如果出现有多条IP地址对应一个MAC地址，简那么明显就是ARP在作怪。

三、感官篇最直观的莫过于用户的上网体验，网络延迟较大，丢包严重，以至于用户掉线。

(2)如何定位ARP攻击？一、安天ARP检测工具安天ARP检测工具工具使用很简单，打开就会用。

二、DOS命令检测如果手头一下没这个软件呢？这时也可在客户机使用路由跟踪命令：tracert–，马上就发现第一条不是网关的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

局域网ARP攻击检测方法有哪些同路由的用户就可能会因为网速问题使用各种网络控制软件，对局域网内的用户进行ARP断网攻击，导致内网下所有用户都不能正常上网，怎么解决呢?怎么检测arp攻击?局域网ARP攻击检测方法一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢，或者突然掉线时，我们可以用：arp -a 命令来检查ARP表：点击“开始”按钮-选择“运行”-输入“cmd”点击“确定”按钮，在窗口中输入：arp -a 命令。

如何排查内网ARP断网攻击祸首?局域网ARP攻击检测方法检查ARP列表如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。

这时可以通过 arp -d 清除arp列表，重新访问。

2、利用ARP防火墙类软件(如：360ARP防火墙、Anti ARP Sniffer等……)。

二、找出ARP病毒主机1、用arp -d 命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。

通过上面的 arp -a 命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。

哪么对应这个MAC地址的主机又是哪一台呢，Windows中有ipconfig /all 命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以扫描到PC的真实IP地址和MAC地址。

2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令马上就发现第一条不是网关机的内网IP，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

查找访问外网路径当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。

如何精确定位进行 ARP 攻击找到攻击源头1.定位 ARP 攻击源头主动定位方式:因为所有的 ARP 攻击源都会有其特征——网卡会处于混杂模式,可以通过 ARPKiller 这样的工具扫描网内有哪台机器的网卡是处于混杂模式的, 从而判断这台机器有可能就是“元凶” 。

定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。

标注:网卡可以置于一种模式叫混杂模式(promiscuous ,在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。

这实际就是 Sniffer 工作的基本原理:让网卡接收一切它所能接收的数据。

被动定位方式:在局域网发生 ARP 攻击时,查看交换机的动态 ARP 表中的内容,确定攻击源的 MAC 地址;也可以在局域居于网中部署 Sniffer 工具,定位 ARP 攻击源的 MAC 。

也可以直接 Ping 网关 IP ,完成 Ping 后,用 ARP – a 查看网关 IP 对应的 MAC 地址, 此 MAC 地址应该为欺骗的 , 使用 NBTSCAN 可以取到 PC 的真实 IP 地址、机器名和 MAC 地址,如果有” ARP 攻击”在做怪,可以找到装有 ARP 攻击的 PC 的IP 、机器名和 MAC 地址。

命令:“ nbtscan -r 192.168.16.0/24” (搜索整个 192.168.16.0/24网段 , 即192.168.16.1-192.168.16.254 ; 或“ nbtscan 192.168.16.25-137” 搜索 192.168.16.25-137 网段, 即 192.168.16.25-192.168.16.137。

输出结果第一列是 IP 地址,最后一列是MAC 地址。

NBTSCAN 的使用范例:假设查找一台 MAC 地址为“ 000d870d585f ”的病毒主机。

1将压缩包中的 nbtscan.exe 和 cygwin1.dll 解压缩放到 c:下。

在局域网查找中毒电脑/arp 病毒清除在局域网查找中毒电脑！！第一步骤: 找一台服务器(首先你要保证这台机器没有任何的病毒),然后建一个文件夹名为"病毒",然后把这个文件夹开一下共享,名为:"bd$". 要开所有权限.可读可写..第二个步骤:随便找几个100K以下的.EXE文件放进这个"病毒"这个文件夹里面.以可以新建几个空的文本文档，然后把文件扩展名改成exe第三个步骤:用工具查看哪台机器连了你这边机器的"bd$"这个共享文件夹的,哪台连接了,哪台就有病毒..而且你的"病毒"文件夹里面的.EXE文件已经被感染了..用这个办法找到了许多中毒的机器,然后再加以防范,也找到了不少的病毒的样本,嘿嘿.,... 大家给我往死里顶..哈哈....开这样的共享 "bd$" 顾客不可能自己跑进来,,只有病毒自己会跑进来,一进来,肯定就有病毒. 而且比较局部网哪台机器中毒,也非常好查,看看哪台机器连了你这个共享,哪台肯定中毒了.直接去GHOST就行了ARP欺骗攻击的包处理办法通用的处理流程1。

先保证网络正常运行方法一：编辑一个***.bat文件内容如下：arp.exe s***.***.***.***(gw ip) ************(gw mac address)end让网络用户点击就可以了！办法二：编辑一个注册表问题，键值如下：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MAC:="arp s ***.***.***.*** **********" gw ip and gw mac address然后保存成Reg文件以后在每个客户端上点击导入注册表。

在局域网内如何查杀攻击病毒呢?以下分两类来详细讲解：ARP 地址攻击查找流程1、如果客户端PC与网关无法通讯，首先在客户端ping 网关地址后，然后在dos窗口下执行arp–a 查看网关的mac地址，记录下网关MAC地址。

到交换机上查找交换机的MAC 地址(例如VLAN1接口)执行show intvlan 1 查看输出信息中VLAN1接口MAC，同时执行show standby vlan 1 查看HSRP网关MAC地址。

如果客户端显示的mac(假设为00-0d-0a-ac-bc-78)地址与网关地址不同，则可能是网关的MAC遭到ARP病毒攻击。

到交换机上执行show mac-address | in 000d.0aac.bc78 在输入信息中查找关联该MAC地址的端口，如果该端口是直连PC或者SERVER的端口，那么该端口所连客户端可能感染ARP类病毒。

如果该端口连接的是另外一台交换机，那么登陆到那台交换机上执行show mac-address | in 000d.0aac.bc78 直到关联端口是直连PC的端口位置。

2、如果客户端PC能够PING 通网关但是与其他VLAN的机器PING(假设该地址为192.168.1.111)不通。

首先在客户端ping 192.168.1.111后，然后在dos窗口下执行arp–a 查看对方IP地址对应的mac地址，记录下其MAC地址(有可能没有信息)，同时在目标机器192.168.1.111上执行ipconfig/all查看该机器网卡mac地址并记录下(注意：交换机上显示的MAC地址和PC上显示的MAC地址格式不一样，交换机上为4个16进制数一组并以“.”分割，PC机上为2个16进制数为一组以”-”分割)。

在dos窗口下执行tracert–d 192.168.1.111。

查看tracert信息最后一跳到达哪台交换机。

登陆到那台交换机上执行PING 192.168.1.111，然后执行show arp | in 192.168.1.111 查看输出信息的mac地址与目标机器(192.168.1.111)的mac地址是否相同。

ARP攻击危害：众说周知，ARP攻击变得日益猖狂，局域网内频繁性区域或整体掉线、IP地址冲突；网速时快时慢。

极其不稳定，严重影响了网络的正常通讯。

一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢，或者突然掉线时，我们可以用arp -a命令来检查ARP 表：（点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮，在窗口中输入“arp -a”命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。

这时可以通过”arp-d“清除arp列表，重新访问。

检查ARP列表2、利用ARP防火墙类软件（如：360ARP防火墙、AntiARPSniffer等）（详细使用略）。

3、WIN7（Vista）系统中命令有所不同，具体情况可以参考如何解决ARP问题造成WIN7系统不能上网二、找出ARP病毒主机1、用“arp -d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。

通过上面的arp -a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。

哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig /all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以扫描到PC的真实IP地址和MAC地址。

2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert -d ，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

查找访问外网路径当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。

局域网中了arp病毒怎么办局域网中了arp病毒怎么办局域网是计算机网络的基本组成部分,局域网管理是网络管理的重要内容，那么你知道局域网中了arp病毒怎么办吗?下面是店铺整理的一些关于局域网中了arp病毒的相关资料，供你参考。

局域网中了arp病毒怎么办？ARP 病毒的症状有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误;局域网内的ARP 包爆增，使用Arp 查询的时候会发现不正常的Mac 地址，或者是错误的Mac 地址对应，还有就是一个Mac 地址对应多个IP 的情况也会有出现。

ARP 攻击的原理ARP 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。

或者，ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内，或者与自己网络MAC 数据库MAC/IP 不匹配。

这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。

处理办法通用的处理流程：1 .先保证网络正常运行方法一：编辑个***.bat 文件内容如下：arp.exe s**.**.**.**(网关ip) ************(网关mac 地址)end让网络用户点击就可以了!办法二：编辑一个注册表问题，键值如下：Windows Registry Editor Version 5.0[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\ \CurrentVersion\\Run]“mac“=“arp s网关IP 地址网关Mac 地址“然后保存成Reg 文件以后在每个客户端上点击导入注册表。

局域网断网ARP攻击怎么检测和修复
局域网用户连接网络时常断开怎么办?当局域网用户计算机受到ARP攻击时，会导致连接网络中断或者联网失败。

下面是店铺收集整理的局域网断网ARP攻击怎么检测和修复，希望对大家有帮助~~
局域网断网ARP攻击检测和修复的方法
方法/步骤
局域网ARP攻击的检测方法：打开“运行”窗口，输入“CMD”进入MSDOS界面。

在打开的“MSDOS”界面中，输入“arp -a”查看arp列表，其中如果存在多条与网关IP相对应的MAC地址时，表明局域网存在ARP攻击。

此外，我们还可以通过许多软件来检测局域网ARP攻击，例如“聚生网管”软件，直接在百度中搜索来获取下载地址。

运行“聚生网管”软件，在其主界面中点击“安全防御”-“安全检测工具”项进入。

在打开的“安全检测工具”界面中，点击“局域网攻击检测工具开始检测”按钮。

并在弹出的窗口中点击“开始检测”按钮，并在弹出的窗口中点击“是”按钮，即可自动检测局域网中的攻击源并列表。

对于局域网ARP攻击，有效的防护措施是利用ARP绑定，将网关IP和其Mac地址进行绑定即可。

这可以利用“360流量防火墙”来实现。

或者利用“聚生网管”跌“安全防御”-》“IP和MAC绑定”项来实现。

遇到ARP攻击的时候如何快速找到攻击源遇到ARP攻击的时候如何快速找到攻击源一、找出病毒的根源首先打开局域网内所有电脑，随后下载了一款名为“Anti Arp Sniffer”的工具，这是一款ARP 防火墙软件，该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。

此外，该软件能有效拦截ARP病毒的攻击，保障该电脑数据流向正确。

使用“Anti Arp Sniffer”查找感染毒电脑时，启动该程序，随后在右侧的“网关地址”项中输入该局域网内的网关IP，随后单击“枚取MAC”这是该出现会自动获取到网关电脑网卡的MAC地址。

MAC获取后单击“自动保护”按钮，这样“Anti Arp Sniffer”便开始监视通过该网关上网的所有电脑了。

片刻功夫，看到系统的任务栏中的“Anti Arp Sniffer”图标上弹出一个“ARP欺骗数据包”提示信息。

这就说明该软件已经侦测到ARP病毒。

于是打开“Anti Arp Sniffer”程序的主窗口，在程序的“欺骗数据详细记录”列表中看到一条信息，这就是“Anti Arp Sniffer”程序捕获的ARP病毒信息。

其中“网关IP地址”和“网关MAC地址”两项中是网关电脑的的真实地址，后面的欺骗机MAC地址就是中ARP病毒的MAC地址。

ARP病毒将该局域网的网关指向了这个IP地址，导致其他电脑无法上网。

二、获取欺骗机IP虽然能拦截ARP病毒，但是不能有效的根除病毒。

要想清除病毒,决定还要找到感染ARP 病毒的电脑才行。

通过“Anti Arp Sniffer”程序已经获取了欺骗机的MAC，这样只要找到该MAC对应的IP地址即可。

获取IP地址，请来了网管工具“网络执法官”，运行该出现后，在“指定监控范围”中输入单位局域网IP地址段，随后单击“添加/修改”按钮，这样刚刚添加的IP地址段将被添加到下面的IP列表中。

如果局域网内有多段IP，还可以进行多次添加。

彻底解决局域网ARP攻击.首先企业或一个局域有了ARP攻击，肯定是很麻烦的，这对于管理员来说很头痛。

有防火强或软件可以查出哪些机器有了ARP前兆，这类防ARP攻击的软件本人觉得彩影的比较直观。

既然查出了那些机器就可以隔离那些有ARP攻击性的机器。

然后再对那些机器进行清楚ARP攻击软件。

这是解决的方法之一。

2.在方法之一中我提过隔离机器再进行解决。

但是随之问题又来了，从ARP攻击来源再看，有可能是P2P软件或网络中的一些软件。

怎么确认修复好的机器被同事朋友又下了同样的带有攻击的软件又来ARP攻击局域网呢？很难保证，因为局域网的网络是开放的。

3.在下面文章中说，双向绑定，双向绑定是有一些效果，但是不足以来防止ARP攻击。

有时甚至没有效果。

4.至于说交换机绑定，如果有这个功能那当然很好可以解决，问题是哪个企业会花那么多钱买那些贵的交换机呢，要知道局域中使用的交换机一般要比路由器多得多。

重新购买有绑定功能的交换机肯定是不可行的。

成本很很大。

5.综上所述，我认为不如再买一个ARP防火墙的路由器。

从硬件上防ARP攻击。

而且只需买一个即可，不用买多个带有绑定或防ARP攻击的交换机。

JIM我在这里献丑了，有文字里面有些说的不对的提议，望大家海函并帮忙修正！欢迎和更多的朋友一起交流！邮件：359394847@一般ARP攻击的对治方法$ a3 `7 B! b) g+ Y0 Y$ E! F% u* T现在最常用的基本对治方法是“ARP双向绑定”。

" s, C: I& ~- Y/ Q3 e由于ARP攻击往往不是病毒造成的，而是合法运行的程序（外挂、网页）造成的，所杀毒软件多数时候束手无策。

/ v. _+ {) j1 ]# V8 ^2 J1 H7 J所谓“双向绑定”，就是再路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。

* G& L6 o. O/ J4 ~/ @2 H- f“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。