局域网内有人用黑客软件限制网速,AntiArpSniffer3.5根本用不了。

怎...

在局域网中难免受到一些人的恶意攻击，也许是想霸占网络资源（呵呵，抢带宽上网啊），也许是出于尝试新软件的好奇，总之这都给我们正常的网络使用带来不少麻烦。

一般攻击者会使用如同“网络执法官”这类的软件，发送数据包改变ARP缓存中的网关ip对应的MAC地址，导致找不到真正的网关而不能连如internet。

原来解决这种攻击的办法是修改自己的MAC地址，使得攻击者暂时失去真正的目标，然后重新连入网络，获取网关的正确MAC地址，以便在以后被攻击后好恢复网络。

方法如下：进入到虚拟的DOS模式下ping自己的网关，然后用arp -a 命令可以看到缓存中网关对应的MAC地址，然后记录下来。

当再次受到攻击导致无法上网时候可以在DOS下用arp -s 网关ip 网关MAC地址 的方式手动建立映射关系重新恢复和网关的通信。

但是这种方法在碰到恶意的连续攻击的情况下是很麻烦的，严整影响了正常使用，因为你不得不常常去修改你的缓存。

还好找到了ColorSoft出的Anti Arp sniffer小东西，使用起来很简单，直接把你记录到的网关正确MAC填进去，在把自己的网卡MAC填进去，然后打开自动防护和防护地址冲突就可以了，他会自动过滤掉攻击的欺骗数据包，从而使你网络更稳定。

呵呵，再也不怕因为攻击而游戏掉线了。

现在Anti Arp sniffer出到了2.0版，但是感觉还是不够方便，不能自动获得当前本机的网卡MAC，在受到连续攻击的时候不停弹出受攻击的提示，十分碍眼。

不过总体说来还是不错的好东东了。

如何查看中了arp

一、工具软件法1、首先打开Anti ARP Sniffer 软件，输入网关的IP地址之后，再点击红色框内的“枚举MAC”按钮，即可获得正确网关的MAC地址。

2、输入网关IP地址后，枚举MAC3、接着点击“自动保护”按钮，即可保护当前网卡与网关的正常通信。

4、点击自动保护按钮，当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。

5、 Anti ARP Sniffer 的拦截记录。

这时再根据欺骗机的MAC地址，对比查找全网的IP-MAC地址对照表，即可快速定位出中毒电脑。

二、Sniffer 抓包嗅探法1、当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal 这样的抓包工具就能派上用场。

2、用Ethereal抓包工具定位出ARP中毒电脑3、框内的信息可以看出，192.168.0.109 这台电脑正向全网发送大量的ARP广播包，一般的讲，局域网中有电脑发送ARP广播包的情况是存在的，但是如果不停的大量发送，就很可疑了。

而这台192.168.0.109 电脑正是一个ARP中毒电脑.

电脑显示ARP攻击是怎么回事

近期国内很多单位和学校的局域网爆发一种新的“ARP欺骗”木马病毒（Address Resolution Protocol 地址解析协议），病毒发作时其症状表现为计算机网络连接正常，能登陆成功却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致网络运行不稳定，频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题，极大地影响了校园网用户的正常使用。

为了保证校园网络的安全畅通，现将有关事项公告如下：一、故障现象及原因分析情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：59.74.0.0这一段）所有主机发送ARP欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病毒主机代理上网。

因客户端具有防代理功能，造成受害者无法通过病毒主机上网。

由于病毒发作时发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。

中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。

此时病毒短时间停止工作，大家会感到网络恢复正常。

如此反复，就造成网络时断时续。

情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。

二、故障诊断如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击＂开始＂按钮->选择＂运行＂->输入＂arp -d＂->点击＂确定＂按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

注：＂arp -d＂命令用于清除并重建本机arp表。

＂arp -d＂命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

三、故障处理1、中毒者：ARP病毒专杀工具下载 1.96MB （务必下载安装后查杀）；2、受害者：下载Anti ARP Sniffer软件 1.84MB 保护本地计算机正常运行输入网关地址（点击“开始”，“运行”，在窗口中输入“cmd”，点“确定”，调出“命令提示符”。

输入并执行以下命令：ipconfig /all,“Default Gateway”后面对应的值就是用户所在子网的网关地址！）点击“枚取MAC地址”，点击“自动保护”保证当前网卡与网关的通信不被第三方监听，最后选中“开机自动运行软件” 即完成了软件设置工作！3、如运行AntiArp程序仍无效果，可下载系统补丁以作尝试：WINXP系统ARP病毒补丁 2KB WIN2000系统ARP病毒补丁 30.8MB四、入网日常安全守则1、校园网并不比互联网安全。

校园网是互联网的组成部分。

校园网内用户并非全部安全可靠，甚至依仗内网的速度优势，校园网更容易成为病毒传播的温床，也给攻击你的骇客带来便利。

2、设置足够强劲的密码。

脆弱的密码是给别人开设的方便之门。

正在用电脑的也许不只是坐在显示器前的您。

3、及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库。

（补丁就是操作系统的疫苗，打一个就防一种威胁，打得越全越安全。

）校园网推荐用户使用Mcafee VirusScan Enterprise 8.0i注意：目前国内主流的计算机防毒软件只能避免自己电脑主机感染ARP病毒，但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。

4、要增强网络安全意识，培养良好的使用习惯。

不要轻易下载、使用不了解和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页），以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。

绝对的匿名是不可能实现的， 无论是在真实的生活中还是在WEB上。

5、网络安全靠大家。

校园网是公共服务设施，保障网络安全不仅是网络中心的工作，更是每位网络用户应尽的义务。

只有依靠大家群策群力、群防群治，网络才能长治久安。

五、管理措施此类ARP攻击虽危害巨大，但由于攻击范围仅限本网段而难以监控，请广大用户积极配合，及时将有关情况通告网络中心（联系电话82201492,82205304转6616）。

一旦确认攻击源，无论是无意中毒还是有意攻击，网络中心将先封闭其交换机端口，待病毒清除后再行解封。

ARP的作用

一、首先诊断是否为ARP病毒攻击 1、当发现上网明显变慢，或者突然掉线时，我们可以用arp-命令来检查ARP表：（点击＂开始＂按钮->选择＂运行＂->输入”cmd” 点击＂确定＂按钮，在窗口中输入＂arp -a＂命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。

2、利用Anti ARP Sniffer软件查看（详细使用略）。

二、找出ARP病毒主机 1、用“arp –d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。

通过上面的arp –a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。

哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig/all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以取到PC的真实IP地址和MAC地址。

命令：“nbtscan -r 192.168.80.0/24”（搜索整个192.168.80.0/24网段， 即 192.168.80.1-192.168.80.254）；或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 网段，即192.168.80.25-192.168.80.137。

输出结果第一列是IP地址，最后一列是MAC地址。

这样就可找到病毒主机的IP地址。

2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert –d ，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。

当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP,IP的设置也有规律的话，那么就很快找到了。

但如果不是上面这种情况，IP设置又无规律，或者IP是动态获取的那该怎么办呢？难道还是要一个个去查？非也！你可以这样：把一台机器的IP地址设置成与作祟机相同的相同，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。

三、处理病毒主机 1、用杀毒软件查毒，杀毒。

2、建议重装系统，一了百了。

（当然你应注意除系统盘外其他盘有无病毒） 四、如何防范ARP病毒攻击 1、从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。

它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。

它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

在PC看来，就是上不了网了，“网络掉线了”。

因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗，这个确实是最好解决的办法，但如果电脑数量多的情况下，在路由器上作绑定工作量将很大，我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了，在PC上绑定可以按下面方法做： 1）首先，获得路由器的内网的MAC地址（例如网关地址172.16.1.254的MAC地址为0022aa0022ee）。

2）编写一个批处理文件rarp.bat内容如下： @echo off arp -d arp -s 172.16.1.254 00-22-aa-00-22-ee 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windows--开始--程序--启动”中。

这样即减轻了一台台设置的麻烦，也避免了由于电脑重新启动使得数据又要重做的麻烦。

当然最好电脑要有还原卡和保护系统，使得这个批处理不会被随意删除掉。

2、作为网络管理员，我认为应该充分利用一些工具软件，备一些常用的工具，就ARP而言，推荐在手头准备这样几个软件： ①“Anti ARP Sniffer”（使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包，并能查找攻击主机的IP及MAC地址）。

②“NBTSCAN”(NBTSCAN可以取到PC的真实IP地址和MAC地址，利用它可以知道局域网内每台IP对应的MAC地址) ③“网络执法官” （一款局域网管理辅助软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控；采用网卡号（MAC）识别用户，主要功能是依据管理员为各主机限定的权限，实时监控整个局域网，并自动对非法用户进行管理，可将非法用户与网络中某些主机或整个网络隔离，而且无论局域网中的主机运行何种防火墙，都不能逃避监控，也不会引发防火墙警告，提高了网络安全性） 3、定时检查局域网病毒，对机器进行病毒扫描，平时给系统安装好补丁程序，最好是局域网内每台电脑保证有杀毒软件（可升级） 4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。

5、建议对局域网的每一台电脑尽量作用固定IP，路由器不启用DHCP，对...

求在局域网内,不管输入什么网址,都要输入账号和密码的软件,密码...

在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令： ipconfig 记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。

再输入并执行以下命令： arp –a 在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。

如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法 本方法可在一定程度上减轻中木马的其它计算机对本机的影响。

用上边介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令： arp –s 网关 IP 网关物理地址 4.静态ARP绑定网关 步骤一： 在能正常上网时，进入MS-DOS窗口，输入命令：arp -a，查看网关的IP对应的正确MAC地址， 并将其记录下来。

注意：如果已经不能上网，则先运行一次命令arp -d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。

一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp -a。

步骤二： 如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。

要想手工绑定，可在MS-DOS窗口下运行以下命令： arp -s 网关IP 网关MAC 例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp -a后输出如下： Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。

如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。

手工绑定的命令为： arp -s 192.168.1.1 00-01-02-03-04-05 绑定完，可再用arp -a查看arp缓存： Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。

但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。

所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。

5 .作批处理文件 在客户端做对网关的arp绑定，具体操作步骤如下： 步骤一： 查找本网段的网关地址，比如192.168.1.1，以下以此网关为例。

在正常上网时，“开始→运行→cmd→确定”，输入：arp -a，点回车，查看网关对应的Physical Address。

比如：网关192.168.1.1 对应00-01-02-03-04-05。

步骤二： 编写一个批处理文件rarp.bat，内容如下： @echo off arp -d arp -s 192.168.1.1 00-01-02-03-04-05 保存为：rarp.bat。

步骤三： 运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。

注意：以上配置需要在网络正常时进行 6.使用安全工具软件 及时下载Anti ARP Sniffer软件保护本地计算机正常运行。

具体使用方法可以在网上搜索。

如果已有病毒计算机的MAC地址，可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP，即感染病毒的计算机的IP地址，然后报告单位的网络中心对其进行查封。

或者利用单位提供的集中网络防病毒系统来统一查杀木马。

另外还可以利用木马杀客等安全工具进行查杀。

如何防止网络ARP攻击

ARP(Address Resolution Protocol，地址解析协议)是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

防止网络ARP攻击：1、可以用专业的ARP防火墙。

2、可以在网络中的交换机上配置802.1x协议。

3、也可以电脑安装ARP防火墙，如今大部分安全辅助软件均内置ARP防火墙，著名的有：360安全卫士（内置）、金山贝壳ARP专杀、金山卫士等，开启arp防护。

4、还要安装杀毒软件，杀毒软件可以有效的防止ARP病毒进入机器。