“分享检查和解决电脑ARP欺骗的做法”

今天我们来谈谈分享电脑arp诈骗检查和解决方法的文案。 现在为大家简单介绍一下电脑arp诈骗的检查和解决方法。 希望对大家有帮助。

近来，新型的arp诈骗木马病毒在校园网上扩散，严重影响了校园网的正常运行。 这台感染木马的计算机试图用arp欺骗拦截互联网中其他计算机的通信新闻，从而导致了互联网中其他计算机的通信故障。 arp欺骗木马的中毒现象表明，采用校园网后线路突然断开，一会儿又恢复正常。 例如，客户端的状态频繁变红、客户频繁断网、ie浏览器频繁出错、一些常见的软件故障等。

如果校园网经过验证并连接到互联网，则突然出现可以验证但无法连接到互联网的现象(无法ping网关)，请重新启动计算机，或在ms-dos窗口下命令arp -d arp诈骗木马猖狂，危害也特别大，各大高校校园网、园区网、企业网、网吧等局域网都出现了不同程度的危害，造成了互联网大面积瘫痪的严重后果。 arp只是欺骗木马感染一台计算机，有可能导致整个局域网无法连接互联网，严重时还可能导致整个互联网瘫痪。

这个木马发作时，同一局域网内的其他人不仅无法连接互联网，还会窃取用户的密码。 例如窃取qq密码、盗取各种网络游戏密码和账号进行金钱交易、盗取网络银行账号进行非法交易活动等，都是木马的惯用手段，给客户带来了巨大的不便和巨大的经济损失 大家可能会怀疑arp诈骗是什么？

地址解析协议( ARP )是tcp/ip协议栈中较低级别的协议，负责将某个ip地址解析为对应的mac地址。

什么是美联储诈骗？

地址解析协议( ARP )是tcp/ip协议栈中较低级别的协议，负责将某个ip地址解析为对应的mac地址。

从影响互联网连接流畅度的方法来看，arp欺骗分为两种，一种是路由器对arp表的欺骗； 另一个是对内网pc的网关诈骗。

第一个arp欺骗的原理是拦截网关数据。 因为向路由器通知了一系列错误的内部网mac地址，并且以一定的频率持续进行，所以更新不会在路由器上留下实际地址的新闻。 结果，路由器的所有数据只发送到错误的mac地址，在普通的pc中不能接收新闻。 第二个arp欺骗的原理是伪造网关。 其原理是建立伪网关，被其欺骗的pc将数据发送到伪网关，而不是通过普通路由器连接到互联网。 从电脑来看，无法连接互联网，互联网瘫痪了。

如何检查和解决arp欺骗木马的做法

1 .通过本机的arp欺骗检查木马感染过程

按住键盘上的ctrl + alt + del键，选择任务管理器，然后单击“进程”选项卡。 检查其中是否有名为mir0.dat的进程。 如果有，证明是中毒。 右键单击此流程，然后选择“结束流程”。 请参照右图。

2、检查网内感染的arp欺骗木马染毒的计算机；

从“开始”-“程序”-“附件”菜单中退出命令提示符。 输入以下命令并执行:

ipconfig

记录网关ip地址，即与默认网关相对应的值。 例如，59.66.36.1。 输入以下命令并执行:

亚足联

在internet地址下，找到上一步记录的网关ip地址，并记录相应的物理地址，如物理地址值，如00-01-e8-1f-35-54。 如果互联网正常，则为网关的正确物理地址，如果互联网受到arp欺骗木马的影响，则为具有木马的计算机网卡的物理地址。

也可以扫描上网本中的所有ip地址，然后查看arp表。 如果有与网关具有相同物理地址的ip，则其ip地址和物理地址是中毒计算机的ip地址和网卡的物理地址。

3 .设置ARP表，防止ARP欺骗木马造成影响的做法

这种方法在一定程度上减轻了木马其他计算机对本地的影响。 使用以上方法确定正确的网关ip地址和网关物理地址，然后在命令提示符窗口中输入以下命令:

arp s网关ip网关的物理地址

4 .状态arp绑定网关

步骤1 :

如果可以正常连接互联网，进入ms-dos窗口，输入命令: arp -a，查看与网关的ip对应的正确的mac地址，并将其记录下来。

观察:如果无法连接互联网，运行arp -d命令从arp缓存中删除空副本后，计算机可以暂时连接互联网(如果攻击没有停止)。 一旦可以连接互联网，立即断开互联网连接(禁用网卡或拔下网线)，然后运行arp -a。

步骤2 :

如果计算机已经具有网关的正确mac地址，则只需在无法连接互联网时手动绑定网关ip和正确的mac地址，即可保护计算机免受欺诈攻击。

要手动绑定，请在ms-dos窗口中运行以下命令:

arp -s网关ip网关mac

例如，计算机所在的网段的网关为192.168.1.1，本地地址为192.168.1.5，在计算机上运行arp -a时输出如下。

cocuments and settings arp -a

接口: 192.168.1.5---0x 2

internetaddressphysicaladdresstype

192.168.1.100-01-02-03-04-05动态

这里，00-01-02-03-04-05是与网关192.168.1.1对应的mac地址，类型可以变更，因此是动态( dynamic )。

被攻击后，通过该命令可以看到该mac被攻击机器的mac所取代。 如果想要找出攻击机器，完全根除攻击的话，也可以在此时记录下该mac，做好以后寻找该攻击机器的准备。

手动绑定的命令如下:

ARP-s 192.168.1.100-01-02-03-04-05中的一个

绑定完成后，可以在arp -a中查看arp缓存。

cocuments and settings arp -a

接口: 192.168.1.5---0x 2

internetaddressphysicaladdresstype

192.168.1.100-01-02-03-04-05静态的

此时，类型为静态，不受攻击的影响。

但是，如果关闭计算机并重新启动，手动绑定将无效，必须证明需要重新绑定。 所以，要完全根除攻击，只有找到网络段内感染病毒的计算机，杀死病毒，才能真正处理问题。

5 .编制批款解决文件

在客户端进行到网关的arp绑定，具体的操作步骤如下。

步骤1 :

查找本网段的网关地址，如192.168.1.1。 以下，以该网关为例。 在正常连接互联网时，开始运行cmd，输入“arp -a”，返回托架，验证网关的物理地址。

例如，网关192.168.1.1与00-01-02-03-04-05相对应。

步骤2 :

创建批量解析文件rarp.bat。 副本如下。

@echo off

美联社系列

ARP-s 192.168.1.100-01-02-03-04-05中的一个

剩下的是rarp.bat

步骤3 :

运行批量解析文件，并将该批量解析文件拖动到windows开始程序的启动中。 如果需要立即启用，请运行此文件。

观察:上述配置必须在互联网正常时进行

6 .采用安全工具软件

及时下载anti arp sniffer软件，保护本地计算机的运行。 具体做法可以在网上搜索。

如果有现有病毒计算机的mac地址，使用nbtscan等软件，在网络段中找出与该mac地址对应的ip，即感染病毒的计算机的ip地址，并报告到的互联网

或者利用公司提供的集中网络杀毒系统统一检查木马。 此外，还可以使用木马杀灭客人等安全工具进行查杀。

7 .应急方案

互联网管理员利用上面说明的arp木马检测方法，通过局域网开关检测到感染病毒的端口后，立即关闭中病毒端口，通知从端口检测相应的顾客，彻底清除病毒。 然后，做好单体防范工作，彻底检查病毒后，打开相应的开关端口，重新开通互联网。

清华大学校园的网络安全响应小组制定了一个小程序，即使在同一局域网内有arp欺骗木马计算机的攻击时，计算机也能够维持正常的网络连接。 具体做法:

1、程序运行后，首先选择网卡，选择网卡后，点击选择按钮。

2、选择网卡后，程序会自动获取你机器的网关地址。

3、获取网关地址后，请单击“获取mac地址”按钮获取正确的网关mac地址。

4、确认网关的mac地址后，请点击连接保护。 程序开始保护你的机器。

5、点击程序右上角的叉子后，程序将自动隐藏在系统托盘中。

6、要完全退出程序，请右键单击系统托盘中的程序图标，然后选择“退出”。

观察:

1、该程序只是一个arp攻击保护程序，在受到arp木马攻击时维持自己计算机的mac地址不被恶意篡改，以免受到攻击时互联网中断。 这个程序不能清除已经感染的arp木马。 要预防或消除木马的感染，请安装正版杀毒软件。

附录2

anti ARP安全保护程序的使用方法

双击antiarp文件，出现如图2所示的对话框。

输入网关地址(网关地址的获取方法:“开始”- -“程序”---“附件”菜单中降低命令提示符，输入ipconfig。 其中，默认网关是网关地址) )； 单击“获取网关的mac地址”，然后单击“自动防护”，防止第三方截取当前网卡与网关的通信。

单击“恢复默认值”，然后单击“防止地址冲突”，例如经常发生ip地址冲突。 这证明攻击者经常发送arp欺骗数据包。

“我的电脑”- -“管理”- -“事件查看器”- -“系统”---“查看tcpip”的源- -双击事件后，显示地址发生冲突，其mac地址被记录下来 请复制该mac地址并输入anti arp sniffer的本地mac地址输入框(输入完成后，单击“防止地址冲突”。 要启用mac地址，请先禁用本地网卡，然后再启用网卡。 在cmd命令行中输入ipconfig /all，检查当前的mac地址是否与本地mac地址输入框中的mac地址相匹配。 如果匹配，则不显示地址冲突。

注: 1、如果想恢复默认的mac地址，请单击“恢复默认”，禁用本地网卡以启用mac地址，然后启用网卡； 本软件不支持多网卡。 某些网卡在更改mac后可能会失效。

本文详细介绍了arp欺诈的定义、类型和相关的解决方法。 读了这篇文章，你的第一感觉是相信arp诈骗还有这么多花样，知道该如何防御arp诈骗的入侵。

通过共享计算机arp诈骗的检查和解决方案，我相信这个副本对你有帮助。 和好朋友分享的时候，欢迎感兴趣的朋友们一起讨论。

本文：《“分享检查和解决电脑ARP欺骗的做法”》