数据网-华为-S3352交换机- ARP病毒攻击断网故障-流程图

ARP攻击百科名片ARP攻击示意图ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。

此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。

最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP 与ICMP转向游戏》。

目录ARP定义ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP 协议栈中的底层协议，对应于数据链路层，负责将某个IP地址解析成对应的MAC地址。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC 地址，以保证通信的进行。

ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。

从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。

ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC 地址。

ARP攻击原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP 响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP 木马，则感染该ARP木马的系统将会试图通过“A RP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP 地址对应的MAC地址后，就会进行数据传输。

如果未找到，则A广播一个ARP 请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib 的主机B回答物理地址Pb。

网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。

华为交换机防ARP攻击配置手册ARP防攻击配置下表列出了本章所包含的内容。

3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

●对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；●对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

图3-1 ARP地址欺骗攻击示意图如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A 的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1. 固定MAC地址对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP表项更新MAC地址，以此来确保合法用户的ARP 表项不被修改。

固定MAC有两种方式：Fixed-mac和Fixed-all。

●Fixed-mac方式；不允许通过ARP学习对MAC地址进行修改，但允许对VLAN 和端口信息进行修改。

这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。

当链路切换时，ARP表项中的端口信息可以快速改变。

●Fixed-all方式；对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。

这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。

2. 主动确认（Send-ack）交换机收到一个涉及MAC地址修改的ARP报文时，不会立即修改原ARP表项，而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认：●如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此ARP表项进行MAC地址修改；同样，ARP表项在新生成一分钟时间内，也不允许修改此ARP表项中的MAC地址；●如果一定时间内没有收到原用户的应答报文，则对新用户发起一个单播请求报文，收到新用户的应答报文之后才修改ARP表项，使新用户成为合法用户。

1，攻击机：安装WinPcap2，攻击机：运行‘局域网终结者’，写入目标主机的IP，点‘添加到阻断列表’；3，目标机：网络连接被阻断；4，攻击机：取消选中地址；5，到目标机器上验证，网络通信应该恢复正常。

WinArpAttacker攻击WinArpAttacker的界面分为四块输出区域第一个区域：主机列表区，显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。

另外，还有一些ARP数据包和转发数据包统计信息，如：ArpSQ：是该机器的发送ARP请求包的个数；ArpSP：是该机器的发送回应包个数；ArpRQ：是该机器的接收请求包个数；ArpRQ：是该机器的接收回应包个数；Packets:是转发的数据包个数，这个信息在进行SPOOF时才有用。

Traffic：转发的流量，是K为单位，这个信息在进行SPOOF时才有用。

第二个区域是检测事件显示区，在这里显示检测到的主机状态变化和攻击事件。

能够检测的事件列表请看英文说明文档。

主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。

当你用鼠标在上面移动时，会显示对于该事件的说明。

第三个区域显示的是本机的ARP表中的项，这对于实时监控本机ARP表变化，防止别人进行SPOOF攻击是很有好处的。

第四个区域是信息显示区，主要显示软件运行时的一些输出，如果运行有错误，则都会从这里输出。

一、扫描。

当点击“Scan”工具栏的图标时，软件会自动扫描局域网上的机器。

并且显示在其中。

当点击“Scan checked"时，要求在机器列表中选定一些机器才扫描，目的是扫描这些选定机器的情况。

当点击"Advanced"时，会弹出一个扫描框。

这个扫描框有三个扫描方式：第一个是扫描一个主机，获得其MAC地址。

第二个方式是扫描一个网络范围，可以是一个C类地址，也可以是一个B类地址，建议不要用B类地址扫描，因为太费时间，对网络有些影响。

轻轻松松对付ARP网络攻击图解教程最近很多用户反映，上网总是掉线。

显示IP冲突，出现有MAC地些在攻击。

据我们监测发现是有些用户在使用某些软件造成的。

比如：网络执法官等。

为了解决这一问题，请广大用户使用下列方法，避免再次受到攻击。

具体方法如下：1. 打开电脑的启动项目录。

具体操作是点击“开始”→“程序”→“启动”右键单击选择“打开所有用户”。

如图：1.将出现以下目录。

右键单击选择“新建”→“文本文档”。

如图：1. 然后会出现一个新建文本文档，打开它。

在其中输入如下内容：arp –darp –darp –darp –s 192.168.1.1 00-e0-eb-81-81-85arp –s 192.168.1.100 00-0a-45-1c-c7-8e(注：以上的红色部分为本机的网关IP与MAC的对映关系，兰色部分本机IP与MAC的对映关系。

具体的值各用户会有不同。

请不要照以上完全抄写!如何查看本的IP与MAC以及网关的IP与MAC以下将做介绍。

)如何查看本的IP与MAC以及网关的IP与MAC点击“开始”→“运行”。

在打开中输入cmda. 点击确定后将出现下图所示。

然后在其中输入ipconfig/all 如图：c. 然后继续输入arp –a 可以查看网关的MAC地址。

如图：4. 编写完以后，点击“文件”→“另存为”。

注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。

点击保存就可以了。

最后删除之前创建的“新建文本文档”就可以。

5.最后重新启动一下电脑就可以。

华为（H3C）3600、3900交换机阻止ARP病毒配置如何使用华为(H3C)3600、3900交换机阻止ARP病毒ARP病毒会在LAN中宣告自己是网关，具体做法找到局域网网关的IP，然后发送ARP广播，宣称网关IP对应的MAC地址是自己的网卡MAC地址。

局域网中其他计算机在收到这个广播后，会更新自己的ARP缓存列表，以后的其他计算机原本发往网关的数据包将会发送到中了ARP病毒的计算机。

该中毒计算机将会分析这些数据包，从中获取如邮箱帐号密码、QQ登录帐号密码等敏感信息，并且因中毒计算机要分析这些信息，可能来不及将数据包全部转发到真正的网关去（或许根本就不转发），从而造成其他计算机上网缓慢（甚至中断）。

解决这个问题的方法是阻止中了ARP病毒的计算机发送宣称自己是网关的ARP广播，这样就不能对局域网中的其他计算机造成危害了。

只有智能的交换机才有这样的功能，下面是在H3C的S3900和S3600系列的交换机上实现的例子（本人测试通过）：环境描述：局域网IP地址范围：192.168.2.0/24，网关是192.168.2.254交换机：H3C S3952，端口48上接的是网关，定义自定义的ACL：acl number 5000rule 0 deny 0806 ffff 16 c0a802fe ffffffff 32解释：rule 0 ：规则序号为0，当规则下发到硬件中执行时，序号不起作用；deny ：禁止；0806 ffff ：IP数据包中的协议号，0806表示ARP广播。

其中ffff 是掩码，“0806 ffff”的意思是只有目标区域等于0806才算是匹配，如果掩码是fff0，则目标区域是0805、0806、0807等都可以匹配；16 ：协议号0806在数据包中的偏移地址。

此偏移量根据不同的交换机型号、不同的交换板型号、不同的配置（VLAN,VPN等）的配置有所不同。

根据网上的资料，可能的值会有：16、20、24、40，并且肯定是偶数。

华为交换机如何识别arp攻击篇一：华为交换机防攻击配置手册防攻击配置下表列出了本章所包含的内容。

31地址欺骗防攻击311地址欺骗防攻击简介协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

对于静态配置地址的网络，目前只能通过配置静态方式防止表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；?对于动态配置地址的网络，攻击者通过伪造其他用户发出的报文，篡改网关设备上的用户表项，可以造成其他合法用户的网络中断。

?图3-1地址欺骗攻击示意图如图3-1所示，为合法用户，通过交换机与外界通讯：攻击者通过伪造的报文，使得设备上的表项中的相应信息被修改，导致与的通讯失败。

对于动态地址欺骗攻击方式，9500系列交换机可通过以下方法进行防御。

1固定地址对于动态的配置方式，交换机第一次学习到表项之后就不再允许通过学习对地址进行修改，直到此表项老化之后才允许此表项更新地址，以此来确保合法用户的表项不被修改。

固定有两种方式：-和-。

-方式；不允许通过学习对地址进行修改，但允许对和端口信息进行修改。

这种方式适用于静态配置地址，但网络存在冗余链路的情况。

当链路切换时，表项中的端口信息可以快速改变。

?-方式；对动态和已解析的短静态、、和端口信息均不允许修改。

这种方式适用于静态配置地址、网络没有冗余链路、同一地址用户不会从不同端口接入交换机的情况。

?2主动确认（-）交换机收到一个涉及地址修改的报文时，不会立即修改原表项，而是先对原表中与此地址对应的对应用户发一个单播确认：如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此表项进行地址修改；同样，表项在新生成一分钟时间内，也不允许修改此表项中的地址；?如果一定时间内没有收到原用户的应答报文，则对新用户发起一个单播请求报文，收到新用户的应答报文之后才修改表项，使新用户成为合法用户。

ARP 病毒的症状及处理方式2019-01-01 19:49一般感染了ARP病毒或是受到了ARP攻击，电脑会出现以下几个症状：1、网络访问时断时继，掉线频繁，网络访问速度越来越慢；2、同一网段的大部分上网电脑无法正常连接网络；3、系统任务管理器中出现一个可疑的进程，如：MIR0.dat ......；4、在路由器中查看ARP信息时，会出现很多IP地址对应同一MAC地址的情况；5、重启电脑或者在DOS窗口下运行“arp -d” 后，又可以恢复上网。

ARP 病毒的检测方法及简单的处理方式：当出现上述情况之一时，有可能你的电脑已经感染了ARP病毒或是受到了ARP攻击。

1、点击开始-->运行，输入 CMD 回车，进入命令窗口，输入命令：arp -d 回车，打开浏览器重新尝试上网，若能短暂正常访问，则说明已经感染了ARP病毒，此时打开任务管理器检查是否有 MIR0.dat 进程，如有这个进程，可以直接结束进程。

2、静态ARP绑定网关，先用上面所说方法进入命令窗口，输入命令：arp -a ，查看网关IP对应的正确 MAC 地址，并记录这一地址。

此时若已经不能上网了，则先运行一次命令：arp -d ，清空arp缓存中的内容，立即将网络断开（禁用网卡或拔掉网线）再用 ARP -a 查看正确的网关地址。

找到正确的网关IP和MAC地址后，用以下命令进行绑定：arp -s 网关IP 网关mac例如：网关IP：192.168.1.1 网关MAC ：00-01-02-03-04-05arp -s 192.168.1.1 00-01-02-03-04-053、制作批处理文件当用以上方式绑定网关，电脑重启后绑定就会消失，因此可以制作一个批处理文件，重启后自动执行绑定。

打开记事本，写入以下内容：@echo offarp -darp -s 192.168.1.1 00-01-02-03-04-05另保存为 warp.bat ，将这个文件拖到“开始--->程序--->启动”中，下次启动电脑就会自动执行这个文件绑定网关了。

文档名称 文档密级：
2014-1-23
华为机密，未经许可不得扩散 第1页, 共1页 ARP 欺骗病毒导致网络故障案例
用户报故障现象：
用户有的不能获取ip 地址，有的能够获取ip 地址，但是ping 不通网关，spes 不能认证，显示一个叉在右下角spes 图标上。

网络设备故障现象：
基本有两种现象：
1、登陆用户连接的交换机，检查日志，会发现交换机有上有大量日志是：报网关ip 冲突，与网关ip 冲突的那个mac 地址很有可能就是感染病毒的机器；
2、有些病毒机器不会在网络交换机上有网关ip 冲突，但是会发现同一网段的交换机时而通时而不通，并且确认交换机上没有环路告警，
端口报文及广播包也没发现异常。

引发故障的原因：
ARP 欺骗病毒，中毒的机器会不断发送ARP 响应，导致其他机器学习到错误的ARP 表项，ping 不通网关，引起网络不能通过spes 认证。

故障查找：
1、如果交换机上有日志报网关ip 冲突，则在5200上查找与网关ip 冲突的mac 地址，就能查出是哪位员工的机器中了病毒，赶紧通知他/她从网络断开；
2、如果交换机上看不到网关ip 冲突日志，则在能够获取ip 地址但不能认证的用户机器上，使用arp －a ，查看网关mac ，应该就是中毒的员工机器的mac ，然后在5200上查找该mac ，就能查出是哪位员工的机器中了病毒，赶紧通知他/她从网络断开；
3、如果不是以上两种情况，可以通过抓包来看，不断发送ARP 报文的那个mac 就是中毒机器的mac 。

4、也可以通过在客户端安装NS 提供的这个工具，就可以查看是谁中毒了：
解决方案：
通知网络安全部给用户机器检查和杀毒或让中毒用户重新安装系统。

华为交换机如何识别arp攻击篇一：华为交换机防ARP攻击配置手册ARP防攻击配置下表列出了本章所包含的内容。

3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；?对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

?图3-1 ARP地址欺骗攻击示意图如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1. 固定MAC地址对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP表项更新MAC地址，以此来确保合法用户的ARP 表项不被修改。

固定MAC有两种方式：Fixed-mac和Fixed-all。

Fixed-mac方式；不允许通过ARP学习对MAC地址进行修改，但允许对VLAN和端口信息进行修改。

这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。

当链路切换时，ARP表项中的端口信息可以快速改变。

?Fixed-all方式；对动态ARP和已解析的短静态ARP、MAC、VLAN 和端口信息均不允许修改。

这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。

?2. 主动确认（Send-ack）交换机收到一个涉及MAC地址修改的ARP报文时，不会立即修改原ARP表项，而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认：如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此ARP表项进行MAC地址修改；同样，ARP表项在新生成一分钟时间内，也不允许修改此ARP表项中的MAC地址；?。

华为交换机防止同网段ARP欺骗攻击配置案例1阻止仿冒网关IP的arp攻击1.1 二层交换机实现防攻击1.1.1 配置组网图1二层交换机防ARP攻击组网S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。

PC-B上装有ARP攻击软件。

现在需要对S3026_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。

1.1.2 配置步骤对于二层交换机如S3026C等支持用户自定义ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。

全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。

Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。

注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。

在S3026C-A系统视图下发acl规则：[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。

1.2 三层交换机实现防攻击1.2.1 配置组网图2 三层交换机防ARP攻击组网1.2.2 防攻击配置举例对于三层设备，需要配置过滤源IP是网关的ARP报文的ACL规则，配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜体部分64010105是网关IP 地址100.1.1.5的16进制表示形式。

网络病毒导致华为交换机故障的解决方案-电脑资料网络病毒导致华为交换机故障的解决方案，在网络时代的今天，大家经常会遇到常见华为交换故障问题，下面将介绍关于网络病毒的知识，包括华为交换机故障深层剖析等等，。

华为交换机故障解决遇到二层华为交换机故障时，我们往往只要重新启动一下该设备就能解决问题了，毕竟二层交换机很少出现硬件质量问题；按照这样的分析，笔者立即将故障交换机的电源暂时切断，过一段时间重新接通电源，果不其然，待故障交换机重新启动稳定后，局域网中先前不能上网的故障工作站立即恢复了正常的网络连接状态。

原以为到了这里，局域网中的部分工作站不能上网华为交换机故障就算解决成功了，可谁曾想到，一个小时还每到，那些不能上网的工作站再次出现了相同的华为交换机故障现象，此时再次观察那台华为交换机故障时，笔者看到该设备控制面板中的所有信号灯又处于全亮不闪烁状态了，这说明该二层交换机又发生了相同的故障。

经过反复测试与实践，笔者发现即使这台二层交换机不连接任何工作站，也会在相同的时间段内发生同样的华为交换机故障现象，这是什么原因呢？为什么局域网中的另外一台二层交换机工作状态始终正常呢？尽管笔者知道该单位局域网中有不少工作站系统中存在各色各样的网络病毒，但考虑到这两台普通二层交换机品牌相同，连接方式也相同，甚至它们的配置也是完全一样的，而现在只有一台交换机设备出现了问题，因此笔者估计肯定是华为交换机故障发生了硬件损坏，要想彻底地解决问题，唯一的办法就是更换该二层交换机。

由于笔者手头暂时没有现成的交换机设备可以替换，为此笔者打算先将局域网中的网络病毒进行一次彻底清查，必须确保新的交换机设备到位之前，整个局域网网络是非常“干净”的，不存在任何网络病毒或木马程序。

在将局域网中的所有病毒程序全部清除干净之后，笔者又随手重新启动了一下故障交换机设备，之后笔者看到故障交换机设备的工作状态又正常了，由于笔者当时有事在身，就先行离开了华为交换机故障现场，第二天早上上班时，笔者顺便看了华为交换机故障的工作状态，让笔者喜出望外的是，该交换机的工作状态竟然一直正常，电脑资料《网络病毒导致华为交换机故障的解决方案》(https://www.)。

ARP网络病毒工作原理及处理方法一、ARP工作原理二、ARP病毒症状三、如何知道网络中是否中了ARP网络病毒四、目前解决ARP网络病毒的有效方法五、网络故障排除基本步骤六、实际案例分析一、ARP工作原理ARP（Address Resolution Protocol）用于将IP地址解析为MAC地址1. ARP地址解析的必要性IP地址不能直接用来进行通信，因为网络设备只能识别MAC地址。

IP地址只是主机在网络层中的地址，如果要将网络层中传送的数据报交给目的主机，必须知道该主机的MAC地址。

因此必须将IP地址解析为MAC地址。

2. ARP地址解析的实现过程以太网上的两台主机需要通信时，双方必须知道对方的MAC地址。

每台主机都要维护IP地址到MAC地址的转换表，称为ARP映射表。

ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射。

在主机启动时，ARP映射表为空；当一条动态ARP映射表项在规定时间没有使用时，主机将其从ARP映射表中删除掉，以便节省内存空间和ARP映射表的查找时间。

假设主机A和主机B在同一个网段，主机A的IP地址为IP_A，B的IP地址为IP_B，主机A要向主机B发送信息。

主机A首先查看自己的ARP映射表，确定其中是否包含有IP_B对应的ARP映射表项。

如果找到了对应的MAC地址，则主机A直接利用ARP映射表中的MAC地址，对IP数据包进行帧封装，并将数据发送给主机B；如果在ARP映射表中找不到对应的MAC地址，则主机A 将该数据包放入ARP发送等待队列，然后创建一个ARP request，并以广播方式在以太网上发送。

ARP request数据包中包含有主机B的IP地址，以及主机A的IP地址和MAC地址。

由于ARP request数据包以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。

主机B首先把ARP request数据包中的请求发起者（即主机A）的IP地址和MAC地址存入自己的ARP映射表中。

如果你发现经常网络掉线，或者发现自己的网站所有页面都被挂马，但到服务器上，查看页面源代码，却找不到挂马代码，就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。

除了装ARP防火墙以外，还可以通过绑定网关的IP和MAC来预防一下。

这个方法在局域网中比较适用：你所在的局域网里面有一台机器中了ARP病毒，它伪装成网关，你上网就会通过那台中毒的机器，然后它过一会儿掉一次线来骗取别的机器的帐户密码什么的东西。

下面是手动处理方法的简要说明：如何检查和处理“ ARP 欺骗”木马的方法1．检查本机的“ ARP 欺骗”木马染毒进程同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2．检查网内感染“ ARP 欺骗”木马染毒的计算机在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：ipconfig记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。

再输入并执行以下命令：arp –a在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。

如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的IP 地址和网卡物理地址。

3．设置 ARP 表避免“ ARP 欺骗”木马影响的方法本方法可在一定程度上减轻中木马的其它计算机对本机的影响。

华为交换机ARP病毒的查找方法(2008-05-15 15:40:43)转载分类：华为(huawei)技术标签：it华为如果网络里出现上叙故障现状，很有可能是有电脑中ARP病毒。

具体查杀办法如下：1、先确定故障网段的VLAN 、网关和IP地址等信息；2、登陆网关交换机（一定要网关交换机，不然是没有ARP表。

）3、通过dis log命令查看日志，如果有病毒一般会有告警（但是也未必所有的都有）。

如果出现以下日志：%Dec 10 13:06:18 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.110.70.126 on VLAN909, sourced by 0016-ec71-9996%Dec 10 13:05:17 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.110.70.126 on VLAN909, sourced by 0016-ec71-9996以上日志表示：VLAN 909网段，MAC地址为0016-ec71-9996的电脑中ARP病毒。

4、如果日志里没有信息显示信息，就需要查看交换机的ARP地址表。

通过dis arp | in VLAN号，如dis arp | in 909。

就会出现如下信息：注意：所有IP地址对应的MAC地址都是一样的，是不正常的。

正常的ARP表应该是不同IP地址对应不同MAC地址。

< Huawei>dis arp | in 909Type: S-Static D-DynamicIP Address MAC Address VLAN ID Port Name Aging Type10.110.64.168 0016-ec71-9996 909 GigabitEthernet4/1/5 13D CunVPN10.110.64.200 0016-ec71-9996 909 GigabitEthernet4/1/5 14D CunVPN10.110.70.60 0016-ec71-9996 909 GigabitEthernet4/1/5 15D CunVPN10.110.70.17 0016-ec71-9996 909 GigabitEthernet4/1/5 16D CunVPN10.110.64.236 0016-ec71-9996 909 GigabitEthernet4/1/5 16D CunVPN10.110.70.18 0016-ec71-9996 909 GigabitEthernet4/1/5 16D CunVPN10.110.70.20 0016-ec71-9996 909 GigabitEthernet4/1/5 17D CunVPN10.110.64.221 0016-ec71-9996 909 GigabitEthernet4/1/5 18D CunVPN10.110.64.231 0016-ec71-9996 909 GigabitEthernet4/1/5 19D CunVPN10.110.64.225 0016-ec71-9996 909 GigabitEthernet4/1/5 20D CunVPN10.110.64.160 0016-ec71-9996 909 GigabitEthernet4/1/5 20D CunVPN以上信息表示：VLAN 909网段，MAC地址为0016-ec71-9996的电脑中ARP病毒。

ARP攻击的处理：1 故障现象网管段设备ping不通交换机下挂的设备，但登陆交换机可ping通下挂设备，查看cpu利用率，达到50%以上（正常情况下低于20%），再查看交换机端口状态，存在有端口in方向流量远远高于out方向流量，且以广播包为主，可能该端口下有设备中毒而对交换机进行arp攻击。

2 故障处理2.1 应急处理应急处理：交换机进入该端口，输入broadcast-suppression 1，broadcast-suppression命令用来在接口下设置广播风暴抑制比，输入命令后，抑制比为1%。

2.2抓包处理1、抓包确定攻击源。

进入隐含模式：[DCN_GuoDa_S3528_1]_检查CPU是否有丢包：[DCN_GuoDa_S3528_1-hidecmd ] ip showvarRun mode 3 gDrvRtListHead 17fac58 g_ulDrvRtNum 1973 g_ulDefaultRtID 0g_pstCurRef 2764188 g_pstArpShadowHead 1a3d1e4 g_pstArpHead 1a45564g_ulARPNum 80 g_ulRtID 291 g_ulCurID 223 g_pusArpIndexMng 3af6c7cg_usArpIndexStackTop 80 g_ulNextHopNum 4096 g_ulDropID 16 g_ulTrapID 17g_bNSFull 0 g_uc_HashLen 8 g_ulTrapID_2 18 g_ulCoreAPIErrCounter 227419g_ulMulticastErr 0ulQueueTotallimit 300, 200, 300, 300, 300, 300, 300, 300ulQueueTotalCounters 0, 8, 12, 95, 0, 2, 0, 1 //共8个队列，有计数标识某个队列有丢包。

1.5.2 ARP入侵检测与ARP报文限速配置举例1. 组网需求如图1-4所示，Switch A（S3100-EI）的端口Ethernet1/0/1连接DHCP服务器，端口Ethernet1/0/2和Ethernet1/0/3分别连接DHCP Client A和DHCP Client B，且三个端口都属于VLAN 1。

●开启交换机的DHCP Snooping功能，并设置端口Ethernet1/0/1为DHCP Snooping信任端口。

●为防止ARP中间人攻击，配置VLAN 1的ARP入侵检测功能，设置Switch 的端口Ethernet1/0/1为ARP信任端口；●开启端口Ethernet1/0/2和Ethernet1/0/3上的ARP报文限速功能，防止来自Client A和Client B的ARP报文流量攻击。

●开启Switch A上的端口状态自动恢复功能，设置恢复时间间隔为200秒。

2. 典型组网图图1-4 配置ARP入侵检测与端口ARP报文限速组网图3. 配置步骤# 开启交换机DHCP Snooping功能。

<SwitchA> system-view[SwitchA] dhcp-snooping# 设置端口Ethernet1/0/1为DHCP Snooping信任端口，ARP信任端口。

[SwitchA] interface Ethernet1/0/1[SwitchA-Ethernet1/0/1] dhcp-snooping trust[SwitchA-Ethernet1/0/1] arp detection trust[SwitchA-Ethernet1/0/1] quit# 开启VLAN 1内所有端口的ARP入侵检测功能。

[SwitchA] vlan 1[SwitchA-vlan1] arp detection enable[SwitchA-vlan1] quit# 开启端口Ethernet1/0/2上的ARP报文限速功能，设置ARP报文通过的最大速率为20pps。

ARP攻击导致S3552 cpu占用率高
现象描述：
天元局CMNET专线用户接入交换机S3552，交换机cpu占用率不断升高，最高达到60%。

原因分析：
造成S3552 cpu占用率高有如下几种可能：
1、设备遭受攻击。

2、网络中存在环路，形成广播风暴。

处理过程：
流程图：
1、检查相应端口流量，流量正常，无异常广播报文。

2、查看系统cpu占用率，发现cpu占用率为60%，查看log日志，发现提示arp地址冲突，怀疑受到arp病毒攻击。

3、<HETSH-S3552-02>dis cpu
CPU busy status:
60% in last 5 seconds
55% in last 1 minute
55% in last 5 minutes
解决措施：
打开arp的调试开关，发现某个地址不断向S3552发送异常报文，导致S3552 cpu占用率升高。

terminal monitor
terminal debugging
debugging arp packet
根据系统提示端口号，找到该终端，查杀病毒后S3552恢复正常。

建议与总结：
S3552 cpu占用率高一般是系统受到攻击，可以通过debugging arp packet 查看是哪个地址发起攻击，然后有针对性的进行问题分析。