arp病毒攻击软件_arp病毒专杀工具

作者:hacker | 分类:渗透破解 | 浏览:170 | 日期:2023年03月10日

电脑中了ARP病毒，杀毒软件查不出怎么办？

局域网内的ARP攻击是很正常的，这个只要你装个360安全卫士就行了，然后开启这个ARP防火墙就是可以放心的，能很好的防御局域网内的arp攻击的

arp病毒攻击软件_arp病毒专杀工具

如何彻底解决ARP攻击？

由于路由器是整个局域网的出口，而ARP攻击是以整个局域网为目标，当ARP攻击包已经达到路由器的时候，影响已经照成。

我们要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心”交换机下手。由于任何ARP包，都必须经由交换机转发，才能达到被攻击目标，只要交换机据收非法的ARP包，那么ARP攻击就不能造成任何影响。

一、做好防制工作

在客户端和路由器上做双向的绑定工作，这样的话无论ARP病毒是伪造本机的IP/MAC或者网关的地址都不会出现上网掉线或者大面积断线等问题了。

二、专业ARP防火墙

使用专业的ARP防火墙软件，它可以直接追踪主机详细情况。启动软件，可以自动监控。

扩展资料：

ARP（地址解析协议）：是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。

ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

参考资料：ARP.百度百科

无盘系统如何防护ARP病毒的攻击？懂的来，不懂的SB滚！

一、将客户机系统补丁全部装全，保证系统基本没有漏洞，这个可以借助金山漏洞扫描器。

二、在客户机上安装杀毒软件。由于机房的机器都购买于2002年，内存只有256M，以往考虑到机器资源紧张没有安装杀毒软件。这次选用的NOD32，虽然NOD32在查毒方面相对卡巴处于劣势，但是它拦截能力和资源占用小的特点在这些老机器上正好可以大显身手，同时在机房服务上架设了局域网升级服务器，随时保证客户机的病毒库最新。在实际的使用过程中，NOD32确实拦截了大部分病毒尤其是ARP病毒攻击。在具体NOD32的使用中，建议停止DMON和EMON两个模块，前者是保护Office文件的，后者是保护邮件的，针对机房的实际情况，可以将其停用，进一步减少NOD32占用系统资源。

三、安装安全卫士360。之所以选择安全卫士360，主要看中它的ARP病毒防火墙和基本木马防护（虽然在木马防护方面360安全卫士与AVG AntiSpyware有较大差距，但是在防护国产木马方面，360的效果还是相当不错的）

启动360后，点击图示中的“保护”按钮

怎么解决锐捷被ARP攻击问题

对ARP病毒攻击的防范和处理

如果在使用网络时速度越来越慢，直至掉线，而过一段时间后又可能恢复正常，或者，重启路由器后又可正常上网。故障出现时，网关ping

不通或有数据丢失，那么很有可能是受到了ARP病毒攻击。下面我就谈谈对这种情况处理的一些意见。

一、首先诊断是否为ARP病毒攻击

1、当发现上网明显变慢，或者突然掉线时，我们可以用arp-命令来检查ARP表：(点击开始按钮-选择运行-输入 cmd 点击确定

按钮，在窗口中输入 arp -a 命令)如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。

2、利用Anti ARP Sniffer软件查看(详细使用略)。

二、找出ARP病毒主机

1、用“arp –d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。通过上面的arp

–a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig/all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以取到PC的真实IP地址和MAC地址。

命令：“nbtscan -r 192.168.80.0/24”(搜索整个192.168.80.0/24网段, 即

192.168.80.1-192.168.80.254);或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137

网段，即192.168.80.25-192.168.80.137。输出结果第一列是IP地址，最后一列是MAC地址。这样就可找到病毒主机的IP地址。

2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令如：tracert –d

，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP

地址的主机就是罪魁祸首。

当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。但如果不是上面这种情况，IP设置又无规律，或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样：把一台机器的IP地址设置成与作祟机相同的相同，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。

三、处理病毒主机

1、用杀毒软件查毒，杀毒。

2、建议重装系统，一了百了。(当然你应注意除系统盘外其他盘有无病毒)

四、如何防范ARP病毒攻击

1、从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗，这个确实是最好解决的办法，但如果电脑数量多的情况下，在路由器上作绑定工作量将很大，我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了，在PC上绑定可以按下面方法做：

1)首先，获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。

2)编写一个批处理文件rarp.bat内容如下：

@echo off

arp -d

arp -s 172.16.1.254 00-22-aa-00-22-ee

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。

这样即减轻了一台台设置的麻烦，也避免了由于电脑重新启动使得数据又要重做的麻烦。当然最好电脑要有还原卡和保护系统，使得这个批处理不会被随意删除掉。

2、作为网络管理员，我认为应该充分利用一些工具软件，备一些常用的工具，就ARP而言，推荐在手头准备这样几个软件：

①“Anti ARP Sniffer”(使用Anti ARP

Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包，并能查找攻击主机的IP及MAC地址)。

②“NBTSCAN”(NBTSCAN可以取到PC的真实IP地址和MAC地址，利用它可以知道局域网内每台IP对应的MAC地址)

③“网络执法官”

(一款局域网管理辅助软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控;采用网卡号(MAC)识别用户，主要功能是依据管理员为各主机限定的权限，实时监控整个局域网，并自动对非法用户进行管理，可将非法用户与网络中某些主机或整个网络隔离，而且无论局域网中的主机运行何种防火墙，都不能逃避监控，也不会引发防火墙警告，提高了网络安全性)

3、定时检查局域网病毒，对机器进行病毒扫描，平时给系统安装好补丁程序，最好是局域网内每台电脑保证有杀毒软件(可升级)

4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。

5、建议对局域网的每一台电脑尽量作用固定IP，路由器不启用DHCP，对给网内的每一台电脑编一个号，每一个号对应一个唯一的IP，这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址，建立一个“电脑编号-IP地址-MAC地址”一一对应的数据库。