ARP遭到攻击如何查杀.高手多指点.来.来.来

局域网频繁遭受内部arp攻击网关，这两天又有udp攻击力，求高手指点怎么才能彻底解决？~

很简单，如果从根本上解决问题，在交换机上
ip dhcp snooping（开启dhcp地址池的监测）
ip dhcp snooping vlan 10（vlan10连的是合法网关vlan）
ip arp inspection vlan 10
在连网关的接口上
int f0/1
ip dhcp snooping trust
ip arp inspection trust
这样只信任合法网关，其他主机发送的ARP攻击全部丢弃
最后在交换机上
no ip dhcp snooping information option
不要修改发送DHCP包的选项位
最好再将所以接口的ip和mac全部绑定
ip source binding ABCD.ABCD.ABCD vlan 100 192.168.1.100 int f0/10
在每个端口下
switchport mode access
switchport access vlan 100
swtichport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation shutdown
ip verify source port-security
这样，看他在攻击，他如果攻击，则连接端口自动断开连接，不能到管理员授权，永远无法自己再连接到交换机

Alteration_MAC: 192.168.0.1 changed from 60-a4-4c-60-54-5f to 40-61-86-76-a6-72
IP地址为192.168.0.1（奇怪，这不是路由器的地址码？）的终端的MAC地址从60-a4-4c-60-54-5f更改为40-61-86-76-a6-72

去下载个风云防火墙就知道是哪个在攻击你了
http://www.218.cc/

操作简约实用：您不需要复杂的设置，风云防火墙在简约人性化方面考虑周详，在您安装了风云防火墙之后，它便开始防护您的系统网络安全，抵抗以知类型的网络扫描及攻击，同时又为高级用户提供了丰富多面的细节监测功能。
1.进一步优化网络防护驱动程序，深入底层防护;
2.加强对自身进程的安全保护;
3.优化了ARP防护功能，ARP功能更加高效;
4.优化了特征码拦截技术，使过滤及拦截更高效;
5.首次加入了应用程序规则CRC智能校验功能，应用程序有任何改动，都会给予用户提示;
6.首次加入了注册表监控保护功能，添加了注册表安全防护规则;
7.首次增加了一键免除提示及是否显示启动界面等人性化操作功能;
8.在V1.2预览版本的基础上将创建新进程和防注入线程从应用层拦截改进到驱动层;
9.增加了流量统计栏里鼠标放置1秒后显示总收发数据量大小功能;
10.解决个别皮肤在某些主题下出错的问题，更换了几款时尚皮肤;
11.恢复风云防火墙在1.2预览版本里去除的升级功能，正版注册用户可以使用在线更新功能及时更新;
12.其它一些操作优化及细节完善。

想了解什么是ARP，ARP攻击的原理，现象，和解决方法是什么？

1.首先给大家说说什么是ARP
ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

2.网络执法官利用的就是这个原理！

在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

3.修改MAC地址突破网络执法官的封锁

根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：
在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210
41 based Ethernet Controller），在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network
Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。
关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

4.找到使你无法上网的对方

解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller（图2），然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP（图3），单击"开始检测"就可以了。
检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

找到对方后怎么对付他就是你的事了，比方说你可以利用网络执法官把对方也给封锁了！:-)

查一下局域网内的所以电脑的MAC
开始-运行-CMD-IPCONFIG/ALL
查到后杀毒。最好是所有电脑的。

360arp防火墙提示被攻击的话就说明有人用比如p2p终结者的arp攻击软件进行arp攻击！
建议删除windows\system32\npptools.dll，我电脑删除了一个月了，从来没中过ARP病毒，也无任何不良反映，ARP病毒缺少了npptools.dll这个文件根本不能运行，目前所发现的ARP病毒通通提示npptools.dll出错，无法运行!
如果删除不了，麻烦您先关闭文件保护，最简单的方法就是用XPLITE来关闭，网上一搜一大把的！
再下载一个ARP防火墙，就没什么问题了！360arp防火墙个人认为比较垃圾！

改注册表的方法没用！我试过！下载一个叫XPLITE的软件可以关闭文件保护！是英文版的，不过网上教程很多！不用担心！
防火墙就用《ARP防火墙》在百度上输入“ARP防火墙”就能找到！华军、天空等较大的下载网站都有！
建议两个手段都要做！删除文件 安装“ARP防火墙”

---

南川市19787331339： arp完美的查杀方法请指教? - ？
丑研卓异： ARP病毒查杀方法 1、中毒现象 局域网内机器以前可正常上网的,突然出现不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间. 2、我们VS病毒 这是APR病毒欺骗攻击造成的. ...

南川市19787331339： 怎么查杀ARP病毒 - ？
丑研卓异： arp病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称.arp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址).通常此类攻击的手段有两种:路由欺骗和网关欺骗.是一...

南川市19787331339： ARP病毒怎么查杀？
丑研卓异： arp是一种网络攻击,是无法查杀的.最直接的解决方法是将你的机器绑定到路由器上,arp就无法攻击了. 如果不会绑定可以下载arp防火墙: 360 arp防火墙: http://360safe.qihoo.com/down/soft_down11.html 金山arp防火墙: http://kad. www.duba.net/kas/KAntiarp.exe

南川市19787331339： 如何查杀电脑受ARP攻击？
丑研卓异： 开启ARP防火墙,ARP攻击都是局域网的主机, 360防火墙就带有ARP防火墙,还有彩影ARP防火墙,金山ARP防火墙

南川市19787331339： 怎样查杀arp病毒？
丑研卓异： 你是想查什么呢!是想查你的ARP 的攻击源还是什么? 首先你可以在cmd下arp -a看看里面有多少虚假的arp信息. ARP攻击是从数据链路层发起的,ARP防火墙、360等都是应用层软件,防不了的.并且ARP等网络攻击一直都存在的,网络攻...

南川市19787331339： 局域网ARP病毒如何查杀？
丑研卓异： Windows(微软)淸理助手全盘查杀彻底删除木马病毒,修复系统.

南川市19787331339： 中了ARP病毒,请问如何查杀 - ？
丑研卓异： ARP不一定是你的机器中毒 局域网中有人中就会连带你的 建议使用360ARP防护但是你所说的问题好像是DNS的问题 或者网络问题

南川市19787331339： 局域网有arp病毒,怎样查杀?？
丑研卓异： 用Sniffer软件可以,我最近刚刚用这个软件解决了单位的路由器IP地址冲突问题. 所有异常现象被归为两类:一类是symptoms(故障征兆),另一类是diagnoses(故障诊断).运行Sniffer开始监测网络,在Station中找到一个IP地址对应两块网卡MAC地址的,其中一个就应该是攻击源.

南川市19787331339： 局域网中了ARP病毒怎么查杀啊 ? - ？
丑研卓异： 绑定ip和MAC地址 查看网卡MAC地址 先点击“开始”选择“运行”,然后在里面输入Winipcfg命令,这就可以查出自己的网卡地址,如图所示: 记录后再到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进行捆绑...

南川市19787331339： 局域网被ARP欺骗,如何查杀.？
丑研卓异： 下载彩影ARP防火墙,找到攻击源电脑..OK,杀毒杀杀看..估计不是中毒,有人用P2P软件