断网仍然提示ARP攻击

360提示ARP断网攻击怎么弄~

你好你可以按360提示的MAC地址，找到有病毒的电脑清理那电脑上的病毒就可以了，希望能帮到你。

我们只能被攻击么？？跟我一起来学习反攻ARP首先进行定位那么如何定位进行ARP攻击？　　1．定位ARP攻击源头 　　主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。　　标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。 　　被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。 　　也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。　　命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。 　　NBTSCAN的使用范例： 　　假设查找一台MAC地址为“00-0d-87-0d-58-5f”的病毒主机。 　　1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 　　2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。　　3）通过查询IP--MAC对应表，查出“00-0d-87-0d-58-5f”的病毒主机的IP地址为“192.168.16.223”。 　　通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。 　　2．防御方法 　　a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。 　　b.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。 　　c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御至于反攻么http://tieba.baidu.com/p/1648976108有你要的答案

局域网ARP攻击，2007ARP引发的威金风暴的解决方案2007年04月14日 星期六 下午 09:55 ARP自从2006年冲击波问题后，曾经一度泛滥，现象表现为：局域网机器不定时掉线，几秒钟后又恢复，然后又掉。他的原理就是一些游戏外挂内含病毒，虚拟一个假的MAC地址来欺骗路由器，造成玩家掉线，再次登陆的时候，信息反馈给病毒主机，密码被截获。关于ARP通信协议的原理，网上太多，这就不多做解释了。

对于这种ARP攻击，原因我分析有以下几点：
1，有人安装了P2P监控软件，如P2P终结者，网络执法官，聚生网管，QQ第六感等，恶意监控其他机器，限制流量，或者进行内网DDOS攻击。
2，传奇/跑跑卡丁车/劲舞团等游戏外挂，如：及时雨PK版，跑跑牛车，劲舞小生等，他内含一些木马程序，也会引起ARP欺骗。
3，一些免费电影，音乐网站挂马，还有RealPlayer里面自带的浏览器，其目的就不多说。

其实真正有人恶意捣乱的是很少的，人家一次两次捣乱，次数多了自己也就腻了，所以头疼的是2和3。

针对这种现象，绑定网关，清空ARP缓存表就可以了，还是很简单的。

首先，看一下arp创建了哪些文件？
因为ARP会自动传播，所以重新启动机器，打开任务管理器监测，过了几分钟，进程里面又出现了8sy.exe，[down].exe。
打开文件夹选项，显示系统文件，显示所有文件,依次进入c:\,c:\windows,c:\windows\system32,发现新创建的文件有：
QUOTE:

C:\_desktop.ini
c:\windows\mppds.exe
c:\windows\Logo1_.exe
c:\windows\RichDll.dll
c:\windows\winform.exe
c:\windows\msccrt.exe
c:\windows\system32\cmdbcs.dll
c:\windows\system32\mppds.dll
c:\windows\system32\winform.dll
c:\windows\system32\msccrt.dll
下面是我采取的措施：
多重绑定：工作站开机绑定本机MAC，绑定网关MAC，利用ipconfig /all查出所有数据，arp -s IP MAC 绑定，每台机器都要绑。
所有机器全部开启，让路由器读取到所有机器的MAC地址，再一一绑定，这样就能防御大部分ARP。

这种方法对路由有要求，现在大部分的网吧和公司局域网，用的都是tp-link路由器，（我们这里就是，因为便宜）所以性能不是十分出色，大多都不带双绑功能，所以，我们利用第三方软件来辅助

路由不带双绑功能的解决方案：下载ARP守护神2.1，里面有一个禁止运行制定程序的配置文件，把常见的病毒进程全部添加，运行一下arp.exe就实现了开机启动。
开机绑定本机，绑定网关。
电影服务器或收费机安装ARP卫士，虽然未注册用户有数量限制，但是装了一台机器也能很好的防御外部ARP攻击，另外推荐一款软件：Anti ARP Sniffer ，他能检测到局域网内哪台机器正在欺骗，检测以后，立即处理，就能有效的防止病毒主机继续感染其他机器。
QUOTE:

建立虚假病毒文件，给文件加权限
我的批处理内容如下：
md c:\_desktop.ini
md c:\autorun.inf
md c:\command.com
md c:\desktop_.ini
md c:\gamesetup.exe
md c:\pagefile.com
md c:\setup.exe
md c:\0[1].exe
md c:\11Sy.exe
md c:\8Sy.exe
md c:\9Sy.exe
md c:\windows\mppds.exe
md c:\windows\Logo1_.exe
md c:\windows\RichDll.dll
md c:\windows\winform.exe
md c:\windows\msccrt.exe
md c:\windows\0[1].exe
md c:\windows\11Sy.exe
md c:\windows\8Sy.exe
md c:\windows\9Sy.exe
md c:\windows\system32\cmdbcs.dll
md c:\windows\system32\mppds.dll
md c:\windows\system32\winform.dll
md c:\windows\system32\msccrt.dll
md c:\windows\system32\0[1].exe
md c:\windows\system32\11Sy.exe
md c:\windows\system32\8Sy.exe
md c:\windows\system32\9Sy.exe
attrib +s +r +h +a c:\_desktop.ini
attrib +s +r +h +a c:\autorun.inf
attrib +s +r +h +a c:\command.com
attrib +s +r +h +a c:\desktop_.ini
attrib +s +r +h +a c:\gamesetup.exe
attrib +s +r +h +a c:\pagefile.com
attrib +s +r +h +a c:\setup.exe
attrib +s +r +h +a c:\0[1].exe
attrib +s +r +h +a c:\11Sy.exe
attrib +s +r +h +a c:\8Sy.exe
attrib +s +r +h +a c:\9Sy.exe
attrib +s +r +h +a c:\windows\mppds.exe
attrib +s +r +h +a c:\windows\Logo1_.exe
attrib +s +r +h +a c:\windows\RichDll.dll
attrib +s +r +h +a c:\windows\winform.exe
attrib +s +r +h +a c:\windows\msccrt.exe
attrib +s +r +h +a c:\windows\0[1].exe
attrib +s +r +h +a c:\windows\11Sy.exe
attrib +s +r +h +a c:\windows\8Sy.exe
attrib +s +r +h +a c:\windows\9Sy.exe
attrib +s +r +h +a c:\windows\system32\cmdbcs.dll
attrib +s +r +h +a c:\windows\system32\mppds.dll
attrib +s +r +h +a c:\windows\system32\winform.dll
attrib +s +r +h +a c:\windows\system32\msccrt.dll
attrib +s +r +h +a c:\windows\system32\0[1].exe
attrib +s +r +h +a c:\windows\system32\11Sy.exe
attrib +s +r +h +a c:\windows\system32\8Sy.exe
attrib +s +r +h +a c:\windows\system32\9Sy.exe
cacls c:\_desktop.ini /e /t /d everyone
cacls c:\autorun.inf /e /t /d everyone
cacls c:\command.com /e /t /d everyone
cacls c:\desktop_.ini /e /t /d everyone
cacls c:\gamesetup.exe /e /t /d everyone
cacls c:\pagefile.com /e /t /d everyone
cacls c:\setup.exe /e /t /d everyone
cacls c:\0[1].exe /e /t /d everyone
cacls c:\11Sy.exe /e /t /d everyone
cacls c:\8Sy.exe /e /t /d everyone
cacls c:\9Sy.exe /e /t /d everyone
cacls c:\windows\mppds.exe /e /t /d everyone
cacls c:\windows\Logo1_.exe /e /t /d everyone
cacls c:\windows\RichDll.dll /e /t /d everyone
cacls c:\windows\winform.exe /e /t /d everyone
cacls c:\windows\msccrt.exe /e /t /d everyone
cacls c:\windows\0[1].exe /e /t /d everyone
cacls c:\windows\11Sy.exe /e /t /d everyone
cacls c:\windows\8Sy.exe /e /t /d everyone
cacls c:\windows\9Sy.exe /e /t /d everyone
cacls c:\windows\system32\cmdbcs.dll /e /t /d everyone
cacls c:\windows\system32\mppds.dll /e /t /d everyone
cacls c:\windows\system32\winform.dll /e /t /d everyone
cacls c:\windows\system32\msccrt.dll /e /t /d everyone
cacls c:\windows\system32\0[1].exe /e /t /d everyone
cacls c:\windows\system32\11Sy.exe /e /t /d everyone
cacls c:\windows\system32\8Sy.exe /e /t /d everyone
cacls c:\windows\system32\9Sy.exe /e /t /d everyone
QUOTE:

在注册表内禁用以下进程：
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="0sy.exe"
"2"="1sy.exe"
"3"="2sy.exe"
"4"="3sy.exe"
"5"="4sy.exe"
"6"="5sy.exe"
"7"="6sy.exe"
"8"="7sy.exe"
"9"="8sy.exe"
"10"="9sy.exe"
"11"="logo_1.exe"
"12"="logo1_.exe"
"13"="conime.exe"
"14"="logo_.exe"
"15"="logo1.exe"
"16"="[down].exe"
"17"="Netrobocop.exe"
"18"="cnnetcut151.exe"
"19"="netcut.exe"
"20"="wnad.exe"
"21"="bind_40235.exe"
"22"="gamesetup.exe"
"23"="FuckJacks.exe"
"24"="spoclsv.exe"
"25"="qq2007.exe"
"26"="intren0t.exe"
"27"="devgt.exe"
"28"="iexpl0re.exe"
"29"="svohost.exe"
"30"="svhost32.exe"
"31"="setup.exe"
"32"="svchqst.exe"
"33"="llssrv.exe"
"32"="qdoxjq.exe"
"33"="iedw.exe"
"34"="res.exe"
"35"="SVCH0ST.exe"
"36"="1.com"
"37"="EXP10RER.com"
"38"="finders.com"
"39"="kill.exe"
"40"="rundl132.exe"
"41"="exerouter.exe"
"42"="ePower.exe"
"43"="nvsc.exe"
"44"="finder.com"
"45"="pagefile.com"
"46"="rose.exe"
"47"="sxs.exe"
"48"="sys1.exe"
"49"="DebugProgramme.exe"
"50"="iexplore.com"
"51"="Exeroud.exe"
"52"="a.exe"

用360扫描一下恶意插件，并利用专杀工具清除恶意插件。

你把网卡断了，还提示？ 把网线拔了，还提示吗？

可能你电脑中毒了，360ARP防火墙提示拦截了你电脑发出去的ARP病毒吧。

反正你手动把网关的IP和MAC绑定。应该问题就不大了。

arp攻击不就是局域网那个攻击吗

要看你是怎么断网的。

1.如果仅仅是不拨号（星空 ，锐捷等断开），那么攻击源是你们的学校局域网

中的其它中毒的电脑。

2.如果是将局域网禁用了，或者你将网线拔出了。还受到了攻击，那么，你的电

脑极有可能是中病毒了。

中ARP病毒或者是有人攻击你
应该是ARP病毒

---

西乡塘区15956785579： 断网之后,防火墙又提示受到arp攻击昨天电脑断网,以为是受到ar? ？
斗厕莲芝： 估计是你开着ARP防火墙呢,然后有人用P2P终结者的话你那里就提示这个.你问问你们这路由器的人有没有使用P2P终结者的.

西乡塘区15956785579： 一直被ARP断网攻击,,已经按照你们的方法弄了一下,还是在攻击,,求助？
斗厕莲芝： 电脑遭受ARP攻击说明你的局域网内有的用户中了病毒,ARP攻击是针对以太网地址解析协议(ARP)的一种攻击技术.此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接.建议朋友使用360ARP防火墙来保护你的电脑.360ARP防火墙是集成在360安全卫士里边的,需要你手动开启才能有效. 在360安全卫士的上边有个木马防火墙,你点击进入开启局域网防护(ARP攻击)就可以了 最后告诉你一个办法:找到那个ip 因为是局域网,因此很快就能找到那个攻击你的人.

西乡塘区15956785579： 电脑一直提示ARP断网攻击正在发生,360已连接,拦截攻击次数一直在增加.怎么样从根本上解决? - ？
斗厕莲芝： 一、ARP攻击是局域网攻击,360安全卫士中的arp防护墙可以拦截arp攻击的.你可以设置一下,设置方法:打开360木马防护墙,开启arp防护墙,点右边的智能设置 ,找到arp防护墙,找到手动绑定网关.设置完了别人就攻击不了你了,祝你能圆满解决问题.二、如果一直提示,你在再提示时注意一下相同攻击点击不再提示即可

西乡塘区15956785579： arp断网攻击怎么解决 - ？
斗厕莲芝： 最直接防治ARP攻击的方法:通过“安全模式”进入系统,关闭网络连接,拔掉网线:根据ARP攻击原理:删除调用系统里的npptools.dll文件.如果你把这个DLL文件删除了,之后随便弄个DLL改名为npptools.dll即可.防攻击文件:C:\...

西乡塘区15956785579： 总提示说ARP断网攻击怎样办？
斗厕莲芝： 试试360安全卫士里面的ARP防火墙通过在系统内核层拦截ARP攻击数据包,确保网关正确的MAC地址不被篡改,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,完美的解决局域网内ARP攻击问题.

西乡塘区15956785579： 显示ARP断网攻击正在产生怎样办？
斗厕莲芝： 360ARP防火墙,可以缓解一下攻击,最好的办法是访问路由器,在其中设置IP地址和Mac地址绑定,这样ARP攻击就无效了.

西乡塘区15956785579： ARP断网攻击一直出现 ,怎么办?？
斗厕莲芝： 关闭提示就好了,如果是自家的路由器绑定mac地址即可

西乡塘区15956785579： ARP断网攻击正在发生,怎么回事 - ？
斗厕莲芝： 有可能是局域网内有ARP欺骗攻击.ARP攻击严重的情况下会导致网络瘫痪的.建议采取如下方案:1. 在DOS窗口中输入arp -a.检查各IP对应的mac地址,如果发现mac地址有重复,就可能存在ARP欺骗.2. 安装ARP防火墙,有arp攻击时一般可以提示攻击来源.3. 安装WFilter里面的“网络健康度检测插件”,可以检测出ARP攻击的IP地址、MAC地址和MAC厂商信息.

西乡塘区15956785579： 我的电脑老是显示ARP断网攻击,怎么弄啊 - ？
斗厕莲芝： arp被攻击都上不去网怎么办 反ARP攻击的绝招,让你在ARP的炮雨攻击下永不掉线 你的局域网经常掉线吗?你受过ARP攻击吗?出现过烦人的IP冲突吗?如果有,或者以防后患,请看下文,教你反ARP攻击的绝招,让你在ARP的炮雨攻击下永...

西乡塘区15956785579： 路由器上再装路由器,出现ARP断网攻击,如何解决? - ？
斗厕莲芝： 解决路由器出现ARP断网攻击方法如下 一般默认的为192.168.1.1或192.168.0.1 要是有2个路由器连在一起,你输入的路由器地址登陆的是哪个也不清楚,就发生了冲突.登陆路由器后,默认在运行状态,图中红色框框处的IP地址即是该路由器...