ARP攻击实战WinArpAttacker教程

防护arp攻击软件最终版-Antiarp安全软件防护arp攻击软件最终版-Antiarp安全软件使用方法：1、填入网关IP地址，点击〔获取网关地址〕将会显示出网关的MAC地址。

点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。

注意：如出现ARP欺骗提示，这说明攻击者发送了ARP 欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址.2、IP地址冲突如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。

3、您需要知道冲突的MAC地址，Windows会记录这些错误。

查看具体方法如下：右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer 的本地MAC 地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。

如果成功将不再会显示地址冲突。

注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC 地址生效请禁用本地网卡然后再启用网卡。

全中文界面，绿色不用安装附件: [Antiarp安全软件] Antiarp.rar (2006-4-25 17:03, 353.06 K)该附件被下载次数103可惜传不上去。

解决ARP攻击一例【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

ARP命令详解和解决ARP攻击（双向绑定）ARP命令详解和解决ARP攻击(双向绑定)显示和修改“地址解析协议(ARP)”缓存中的项目。

ARP 缓存中包含一个或多个表，它们用于存储IP 地址及其经过解析的以太网或令牌环物理地址。

计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。

如果在没有参数的情况下使用，则arp 命令将显示帮助信息。

语法arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数-a[ InetAddr] [ -N IfaceAddr]显示所有接口的当前 ARP 缓存表。

要显示特定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。

如果未指定InetAddr，则使用第一个适用的接口。

要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

-N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]与 -a 相同。

-d InetAddr [IfaceAddr]删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。

对于指定的接口，要删除表中的某项，请使用IfaceAddr 参数，此处的IfaceAddr 代表指派给该接口的 IP 地址。

要删除所有项，请使用星号(*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]向ARP 缓存添加可将IP 地址InetAddr 解析成物理地址EtherAddr 的静态项。

要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

轻轻松松对付ARP网络攻击图解教程最近很多用户反映，上网总是掉线。

显示IP冲突，出现有MAC地些在攻击。

据我们监测发现是有些用户在使用某些软件造成的。

比如：网络执法官等。

为了解决这一问题，请广大用户使用下列方法，避免再次受到攻击。

具体方法如下：1. 打开电脑的启动项目录。

具体操作是点击“开始”→“程序”→“启动”右键单击选择“打开所有用户”。

如图：1.将出现以下目录。

右键单击选择“新建”→“文本文档”。

如图：1. 然后会出现一个新建文本文档，打开它。

在其中输入如下内容：arp –darp –darp –darp –s 192.168.1.1 00-e0-eb-81-81-85arp –s 192.168.1.100 00-0a-45-1c-c7-8e(注：以上的红色部分为本机的网关IP与MAC的对映关系，兰色部分本机IP与MAC的对映关系。

具体的值各用户会有不同。

请不要照以上完全抄写!如何查看本的IP与MAC以及网关的IP与MAC以下将做介绍。

)如何查看本的IP与MAC以及网关的IP与MAC点击“开始”→“运行”。

在打开中输入cmda. 点击确定后将出现下图所示。

然后在其中输入ipconfig/all 如图：c. 然后继续输入arp –a 可以查看网关的MAC地址。

如图：4. 编写完以后，点击“文件”→“另存为”。

注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。

点击保存就可以了。

最后删除之前创建的“新建文本文档”就可以。

5.最后重新启动一下电脑就可以。

服务器安全狗ARP防火墙的攻击示例和设置问题说明：这次我们使用3台服务器进行测试，IP分别是192.168.73.128，192.168.73.129和192.168.73.130（这里我们用虚拟机进行模拟）。

由192.168.73.129对另外两台服务器发起ARP攻击，使其无法进行网络连接，以达到攻击者不可告人的目的。

这里我们进行的arp攻击是局域网内对主机的冲突攻击，这是比较典型的arp攻击方式，常见的arp攻击软件中都有这类功能，如winarpattacker、网络执法官。

其中192.168.73.130没有装服务器安全狗，而192.168.73.128装了服务器安全狗。

过程这里就不做说明了，我们可以从服务器安全狗的防护日志上看到攻击的信息。

1、对没有装服务器安全狗的192.168.73.130主机进行arp攻击测试攻击开始后，没过几分钟就可以看到192.168.73.130远程桌面断开，无法ping 通。

而断开攻击后网络就恢复了。

图1.ARP攻击实例2、对装有服务器安全狗的192.168.73.128主机进行arp攻击测试当攻击开始的时候，就可以看到屏幕右下脚的服务器安全狗标志在闪红预警，说明服务器正在遭受攻击。

这时候你就可以到服务器安全狗的防护日志里查看日志。

如下图：图2.防护日志看来我们的服务器安全狗已经起作用了，拦截了对方的arp攻击。

那服务器安全狗是通过什么模块进行arp攻击防御的呢？接下来我们要进行详细的说明，对arp攻起起拦截作用的是服务器安全狗防火墙模块中的arp防火墙，如下图：图3.ARP防火墙开启/停止ARP防火墙功能：用户可以通过单击操作界面右上方的“开启”/“停止”按钮来开启/停止ARP防火墙功能。

ARP防火墙必须开启，才能实现防御ARP攻击的功能，建议用户安装完服务器安全狗之后，立即开启ARP防火墙。

如下图所示：图4.ARP防火墙开启如上面我们的攻击实例，在192.168.73.129这台服务器上对192.168.73.128进行攻击，日志上显示了通过网关欺骗直接让被攻击服务器造成IP冲突，使被攻击主机掉线，无法进行正常的运行。

arp攻击方式及解决方法ARP（地址解析协议）是计算机网络中一种用来将IP地址转换为MAC地址的协议。

然而，正因为ARP协议的特性，它也成为了黑客进行网络攻击的目标之一。

本文将介绍ARP攻击的几种常见方式，并提供解决这些攻击方式的方法。

一、ARP攻击方式1. ARP欺骗攻击ARP欺骗攻击是最常见的ARP攻击方式之一。

攻击者发送伪造的ARP响应包，将自己的MAC地址伪装成其他主机的MAC地址，迫使目标主机发送网络流量到攻击者的机器上。

2. ARP缓存投毒ARP缓存投毒是一种通过向目标主机的ARP缓存中插入虚假的ARP记录来实施攻击的方式。

攻击者伪造合法主机的MAC地址，并将其与错误的IP地址关联，从而导致目标主机将网络流量发送到错误的目的地。

3. 反向ARP（RARP）攻击反向ARP攻击是使用类似ARP欺骗的方式，攻击者发送伪造的RARP响应包，欺骗目标主机将攻击者的MAC地址与虚假的IP地址进行关联。

二、解决ARP攻击的方法1. 使用静态ARP表静态ARP表是手动创建的ARP表，其中包含了真实主机的IP地址和MAC地址的映射关系。

通过使用静态ARP表，可以避免因为欺骗攻击而收到伪造的ARP响应包。

2. 使用防火墙防火墙可以检测和过滤网络中的恶意ARP请求和响应包。

通过配置防火墙规则，可以限制只允许来自合法主机的ARP请求和响应。

3. 使用网络入侵检测系统（NIDS）网络入侵检测系统可以监测网络中的恶意ARP活动，并提供实时告警。

通过使用NIDS，可以及时发现并应对ARP攻击事件。

4. ARP绑定ARP绑定可以将指定的IP地址和MAC地址绑定在一起，防止ARP欺骗攻击。

主机在发送ARP请求时会同时检查绑定表，如果发现IP地址和MAC地址的对应关系不匹配，则会拒绝该ARP响应。

5. 使用加密技术使用加密技术可以防止ARP请求和响应包被篡改和伪造。

通过在ARP包中添加加密信息，可以提高网络的安全性，防止ARP攻击的发生。

基于WinArpAttacker软件的ARP攻击基于WinArpAttacker软件的ARP攻击【摘要】本文主要介绍了ARP地址解析协议的原理以及利用WinArpAttacker这个攻击软件模拟一次ARP攻击的攻击过程，最后再介绍了防止ARP攻击的主要手段。

其中对于WinArpAttacker这个软件进行了较为详细的介绍。

【关键字】ARP WinArpAttacker ARP攻击1.引言ARP，即地址解析协议，实现通过IP地址得知其物理地址。

在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。

为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。

这样就存在把IP地址变换成物理地址的地址转换问题。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

2.正文2.1ARP原理介绍在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。

以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。

当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。

如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，A主机MAC地址是“主机A的MAC地址”，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址是"主机A的MAC地址".请问IP地址为192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。

1，攻击机：安装WinPcap2，攻击机：运行‘局域网终结者’，写入目标主机的IP，点‘添加到阻断列表’；3，目标机：网络连接被阻断；4，攻击机：取消选中地址；5，到目标机器上验证，网络通信应该恢复正常。

WinArpAttacker攻击WinArpAttacker的界面分为四块输出区域第一个区域：主机列表区，显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。

另外，还有一些ARP数据包和转发数据包统计信息，如：ArpSQ：是该机器的发送ARP请求包的个数；ArpSP：是该机器的发送回应包个数；ArpRQ：是该机器的接收请求包个数；ArpRQ：是该机器的接收回应包个数；Packets:是转发的数据包个数，这个信息在进行SPOOF时才有用。

Traffic：转发的流量，是K为单位，这个信息在进行SPOOF时才有用。

第二个区域是检测事件显示区，在这里显示检测到的主机状态变化和攻击事件。

能够检测的事件列表请看英文说明文档。

主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。

当你用鼠标在上面移动时，会显示对于该事件的说明。

第三个区域显示的是本机的ARP表中的项，这对于实时监控本机ARP表变化，防止别人进行SPOOF攻击是很有好处的。

第四个区域是信息显示区，主要显示软件运行时的一些输出，如果运行有错误，则都会从这里输出。

一、扫描。

当点击“Scan”工具栏的图标时，软件会自动扫描局域网上的机器。

并且显示在其中。

当点击“Scan checked"时，要求在机器列表中选定一些机器才扫描，目的是扫描这些选定机器的情况。

当点击"Advanced"时，会弹出一个扫描框。

这个扫描框有三个扫描方式：第一个是扫描一个主机，获得其MAC地址。

第二个方式是扫描一个网络范围，可以是一个C类地址，也可以是一个B类地址，建议不要用B类地址扫描，因为太费时间，对网络有些影响。

彻底解决局域网内ARP攻击的设置方法局域网（LAN）是指在相对较小范围内连接在一起的计算机和网络设备（如路由器、交换机等）。

在一个局域网中，通常存在着各种各样的威胁，包括ARP攻击。

ARP攻击（Address Resolution Protocol attack）是一种常见的网络安全威胁，该攻击利用ARP协议中的漏洞，冒充合法设备，并发送欺骗性ARP响应，以获取受害者的信息。

因此，彻底解决局域网内的ARP攻击非常重要。

解决局域网内ARP攻击的设置方法如下：1.使用静态ARP绑定：静态ARP绑定是一种将IP地址和物理地址（MAC地址）固定绑定在一起的方法。

通过在路由器或交换机上设置静态ARP绑定，可以防止攻击者通过伪造IP地址来进行ARP攻击。

管理员需要将每一个设备的IP地址和物理地址进行匹配，并手动添加到路由器或交换机的ARP表中。

2.启用ARP检测和防御机制：现代网络设备通常提供了一些ARP检测和防御机制，可以通过启用这些功能来防止ARP攻击。

例如，一些设备支持ARP检测以及对异常ARP流量的过滤和阻止。

管理员可以查看设备文档并按照说明启用这些功能。

3.使用虚拟局域网（VLAN）进行隔离：VLAN是一种将不同的设备隔离在不同的逻辑网络中的方法。

通过将设备划分为不同的VLAN，可以减少ARP攻击在局域网内的传播范围。

攻击者只能影响同一VLAN中的设备，而无法影响其他VLAN中的设备。

4.使用网络流量监控工具：网络流量监控工具可以帮助管理员及时发现和定位ARP攻击。

通过监控网络流量，管理员可以识别异常的ARP响应，并迅速采取措施进行阻止和防御。

5.更新网络设备的固件和软件：网络设备的固件和软件更新通常会修复已知的安全漏洞，包括与ARP攻击相关的漏洞。

因此，及时更新网络设备的固件和软件是保护局域网安全的一种重要措施。

6.加强网络设备的物理安全：ARP攻击也可以通过物理访问网络设备进行实施。

因此，加强网络设备的物理安全非常重要。

华北电力大学
实验报告|
|
实验名称 ARP攻击实验
课程名称网络攻击与防范
|
|
专业班级：网络学生姓名：
学号：成绩：
指导教师：曹锦纲实验日期：
通过WinArpAttacker的包转发功能，可搜集并转发数据包，使用时最好禁止本地系统本身的包转发功能。

能够统计通过WinArpAttacker包转发功能嗅探和转发的数据，就像在本地网络接口上看到的数据包统计值一样。

ARP表在很短的时间内自动更新（大约5秒内），也可选择不自动刷新ARP表。

四、实验方法与步骤
1、在VMware中新建两个虚拟机，均安装Windows XP系统，并设置网卡连接方式为Host-only（主机）模式。

2、详细的TCP/IP参数设置如下：
设备IP地址掩码MAC地址
PC1
、确保两台虚拟机相互可以ping通：
PC1：
PC2：。

ARP攻击实验⼀、实验⽬的1.掌握sniffer和Wireshark⼯具的使⽤。

2.了解WinArpAttacker软件攻击的⽅法和步骤。

3.学会使⽤ARP欺骗的攻击⽅法和掌握ARP欺骗的防范⽅法。

⼆、实验设备及环境两台装有Windows2000/XP电脑操作系统的计算机，并且这两台要在同⼀个局域⽹内，⼀台安装Wireshark、WinArpAttacker⼯具，另⼀台安装ARP 防⽕墙⼯具antiarp软件。

三、实验内容及步骤（截图并对图⽰进⾏必要的⽂字说明）1.ARP泛洪攻击。

⾸先先测试攻击⽅和被攻击⽅的连通性。

安装Wireshark软件并运⾏在软件对话框内选择capture——》options，在弹出的对话框内输⼊被攻击⽅的ip地址。

点击Start按钮，开始嗅探被攻击⽅的数据包。

安装WinArpAttacker软件，并运⾏，选择options——》adapter。

在弹出的对话框内选择attack选项，把攻击的时间延长（时间可随意设置）。

进⾏scan，设置被攻击⽅的ip。

选择设置好的⽬的IP后选择attack，进⾏flood攻击。

这时发现被攻击⽅出现ip地址冲突，即攻击成功。

打开Wireshark查看嗅探到的信息2.使⽤send实施ARP欺骗攻击使⽤ipconfig/all命令查看攻击⽅MAC地址，并⽤ARP –a 查看本地局域⽹内所有⽤户ip和mac地址绑定关系同样使⽤使⽤ipconfig/all 命令查看被攻击⽅MAC 地址，并⽤ARP –a 查看本地局域⽹内所有⽤户ip 和mac 地址绑定关系运⾏WinArpAttacker 软件，选中send 选项，设置相应的参数。

然后点击send 开始攻击。

再次使⽤命令arp –a 查看信息，发现ip和mac地址绑定关系发⽣改变，并发现ping不同。

3. 防范ARP欺骗为防⽌arp欺骗，使⽤静态绑定ip和mac地址。

先使⽤命令arp -d清除缓存表。

局域网黑客软件:WinArpAttacker3.5大家安装好防火墙后,只要发觉局域网内有人攻击,可以马上用该黑客软件进行反攻击.本人经常用来攻击那些讨厌的家伙,每次都成能功逼其下线!嘻嘻.大家可以到搜索引擎中搜索下载.把WinArpAttacker3.5直接粘贴到搜索引擎中即可找到该软件.WinArpAttacker3.5中文教学手册今天我们来学习一下WinArpAttacker这个ARP攻击软件的使用方法。

WinArpAttacker的界面分为四块输出区域。

第一个区域：主机列表区，显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。

另外，还有一些ARP数据包和转发数据包统计信息，如ArpSQ：是该机器的发送ARP请求包的个数ArpSP：是该机器的发送回应包个数ArpRQ：是该机器的接收请求包个数ArpRQ：是该机器的接收回应包个数Packets:是转发的数据包个数，这个信息在进行SPOOF时才有用。

Traffic：转发的流量，是K为单位，这个信息在进行SPOOF时才有用。

第二个区域是检测事件显示区，在这里显示检测到的主机状态变化和攻击事件。

能够检测的事件列表请看英文说明文档。

主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。

当你用鼠标在上面移动时，会显示对于该事件的说明。

第三个区域显示的是本机的ARP表中的项，这对于实时监控本机ARP表变化，防止别人进行SPOOF攻击是很有好处的。

第四个区域是信息显示区，主要显示软件运行时的一些输出，如果运行有错误，则都会从这里输出。

好，软件界面就讲到这里。

下面我们来说明一下几个重要功能。

一、扫描。

当点击“Scan”工具栏的图标时，软件会自动扫描局域网上的机器。

并且显示在其中。

当点击“Scan checked"时，要求在机器列表中选定一些机器才扫描，目的是扫描这些选定机器的情况。

当点击"Advanced"时，会弹出一个扫描框。

实验4-2 ARP攻击实验一、实验目的1、了解基本的网络攻击原理和攻击的主要步骤；2、了解ARP攻击的主要原理和过程；二、实验设备及环境三台装有Windows2000/XP电脑操作系统的计算机，并且这三台要在同一个局域网内，WinArpAttackerV3.5，聚生网管软件，sniffer或Wireshark。

三、实验内容及步骤（截图并对图示进行必要的文字说明）1、打开两台计算机，记录下其IP地址，例如分别为"192.168.1.16"和"192.168.1.17"。

2、在1.16计算机上ping 1.17。

（注：此处IP为192.168.1.17的缩写，实际运行时需要输入完整的IP，后同）3、在1.16计算机上查看arp缓存，验证缓存的1.17MAC地址是否正确?4、在1.16计算机上为1.17添加一条静态的MAC地址记录，然后再在1.16计算机上ping 1.17，验证能否ping通?5、在1.16计算机上，清除所有缓存，然后再在1.16计算机上ping 1.17，验证能否ping 通?6、在1.16计算机上，安装"Arp攻击器v3.5"(1)运行"WinPcap_3_1.exe"。

(2)运行"WinArpAttacker.exe"，屏幕右下角出现一个小图标，双击该图标。

7、在1.16计算机上，为"Arp攻击器"指定网卡。

Arp攻击器->Options菜单->Adapter菜单->Adapter选项->选择物理网卡8、在1.16计算机上，扫描出本网段所有主机。

Arp攻击器->Scan->Advanced->Scan a range->设置为1.0-1.2549、在1.16计算机上，勾中需要攻击的计算机1.17，利用"Attack->Flood"进行不间断的IP冲突攻击。

WIN7 系统解决ARP攻击1.先要在WIN7系统盘下的WINDOWS\SYSTEM32下找到CMD.EXE命令右键以管理员身份运行；先看一下ARP表的状态ARP －A接口: 192.168.1.1 00-19-e0-e0-76-ca 动态192.168.1.100 00-1f-c6-31-8a-4b 动态这里会看到网关和本地的ARP表是动态的，我的目的是让它们成为静态不变的；2.输入netsh -c "interface ipv4"这时命令提示符会变为"netsh interface ipv4>"然后输入show neighbors查看一下你的邻居缓存项的属性。

本人的是WIN7 6956版汉化过的，所以接口名为：“本地连接”3.知道接口名以后输入：set neighbors "Loopback Pseudo-Interface 1" "192.168.0.1" "c8-3a-35-08-73-60"set neighbors "Loopback Pseudo-Interface 1" "192.168.0.101" "00-1b-b1-ab-80-a3"以上分别为本地连接设置了静态ARP表的信息，“本地连接”为刚才用show neighbors查看到的接口名称，"192.168.1.1" "00-19-e0-e0-76-ca"为网关IP和网关的MAC地址。

下面那条是本地的IP地址和MAC地址。

4.最后EXIT退出。

再输入ARP －A看看是不是静态的了。

接口: 192.168.1.1 00-19-e0-e0-76-ca 静态192.168.1.100 00-1f-c6-31-8a-4b 静态最后要说明一下，用NETSH命令设置的静态ARP表重启后是不会丢失的，这就是它与ARP 命令的区别。

如果你发现经常网络掉线，或者发现自己的网站所有页面都被挂马，但到服务器上，查看页面源代码，却找不到挂马代码，就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。

除了装ARP防火墙以外，还可以通过绑定网关的IP和MAC来预防一下。

这个方法在局域网中比较适用：你所在的局域网里面有一台机器中了ARP病毒，它伪装成网关，你上网就会通过那台中毒的机器，然后它过一会儿掉一次线来骗取别的机器的帐户密码什么的东西。

下面是手动处理方法的简要说明：如何检查和处理“ ARP 欺骗”木马的方法1．检查本机的“ ARP 欺骗”木马染毒进程同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2．检查网内感染“ ARP 欺骗”木马染毒的计算机在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：ipconfig记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。

再输入并执行以下命令：arp –a在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。

如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的IP 地址和网卡物理地址。

3．设置 ARP 表避免“ ARP 欺骗”木马影响的方法本方法可在一定程度上减轻中木马的其它计算机对本机的影响。