怎么查找arp攻击软件包_怎么查找arp攻击软件包

目录：

• 1、如何查出局域网内的ARP攻击源
• 2、怎样能快速准确的找到局域网中ARP的攻击源？
• 3、如何查找arp攻击源
• 4、如何快速查找ARP攻击篇

如何查出局域网内的ARP攻击源

这个很明显是arp欺骗，

解决办法

1、在你上不去的电脑上arp -a一下，看看获取到的MAC和IP和网关mac和ip是否一致！

2、如果不一致，检查网络里面是否有这个MAC-IP的路由设备，或者通过抓包找出发起arp攻击的IP

3、通过一些arp检查工具查找攻击源，找出后重做系统（发arp的机器未必是上不去网的哦）

我个人认为掉线问题都是由于底层漏洞出的问题 例如(arp\udp\tcp syn）攻击。一些传统的360卫士、arp防火墙，杀毒软件我都试过了也都不行。

最后我是通过免疫网络彻底的解决了网络底层问题，这东西网上有很多，但好像只有一个叫巡路的在做，而且还有免费的。建议楼主自己找找。

怎样能快速准确的找到局域网中ARP的攻击源？

【HiPER用户快速发现ARP欺骗木马】

在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）：

MAC

Chged

10.128.103.124

MAC

Old

00:01:6c:36:d1:7f

MAC

New

00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC

New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

如果是在路由器的“系统历史记录”中看到大量MAC

Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。

【在局域网内查找病毒主机】

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。

命令：“nbtscan

-r

192.168.16.0/24”（搜索整个192.168.16.0/24网段,

即

192.168.16.1-192.168.16.254）；或“nbtscan

192.168.16.25-137”搜索192.168.16.25-137

网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1）将压缩包中的nbtscan.exe

和cygwin1.dll解压缩放到c:下。

2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C:

btscan

-r

192.168.16.1/24（这里需要根据用户实际网段输入），回车。

C:Documents

and

SettingsALANC:

btscan

-r

192.168.16.1/24

Warning:

-r

option

not

supported

under

Windows.

Running

without

it.

Doing

NBT

name

scan

for

addresses

from

192.168.16.1/24

IP

address

NetBIOS

Name

Server

User

MAC

address

192.168.16.0

Sendto

failed:

Cannot

assign

requested

address

192.168.16.50

SERVER

00-e0-4c-4d-96-c6

192.168.16.111

LLF

ADMINISTRATOR

00-22-55-66-77-88

192.168.16.121

UTT-HIPER

00-0d-87-26-7d-78

192.168.16.175

JC

00-07-95-e0-7c-d7

192.168.16.223

test123

test123

00-0d-87-0d-58-5f

3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

如何查找arp攻击源

如何能够快速检测定位出局域网中的ARP病毒电脑?

面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP-MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。

命令行法

这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP -a，需要在cmd命令提示行下输入。输入后的返回信息如下：

Internet Address Physical Address Type

192.168.0.1 00-50-56-e6-49-56 dynamic

这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是中毒电脑的MAC地址!这时，再根据网络正常时，全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。由此可见，在网络正常的时候，保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nBTscan工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。

第一招：使用Sniffer抓包在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。　

第二招：使用arp -a命令　任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert 61.135.179.148。　假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

如何快速查找ARP攻击篇

可尝试以下方法清理：

1．在路由器（局域网用户）或IE受限制站点中屏蔽此站。

2．安装Windows系统补丁，特别是MS07-17。

3．使用“Anti Arp Sniffer”（）等ARP防御软件查出网内攻击源。

4．断开中毒电脑的网络连接，进入安全模式用杀毒软件对它进行彻底查杀。

标签：怎么查找arp攻击软件包