ARP被攻击,最好的修复防御软件是什么？

通过“安全模式”进入系统，关闭网络连接，拔掉网线：根据ARP攻击原理：删除调用系统里的npptools.dll文件。

如果你把这个DLL文件删除了，之后随便弄个DLL改名为npptools.dll即可。

如果C盘是NTFS分区格式就把权限都去掉，如果是FAT格式弄个只读就可以了。

防攻击文件：C:\WINDOWS\system32\ npptools.dll处理方法：新建一个空文本文档，改名为npptools.dll然后把它复制到system32文件夹里，覆盖原有的npptools.dll，如果没关闭文件保护，先关闭。

再把system32\dllcache里的npptools.dll也覆盖了，然后把它们的属性改为只读、隐藏，最后再把它们的everyone权限都去掉，即可！npptools.dll文件的属性改为只读、隐藏后，再把它们的everyone的权限去掉，病毒就不能替换也不能使用它了，arp就不会起作用，从而达到防范ARP的目的。

关于该类问题，我的百度回答列表：http://zhidao.baidu.com/question/385531010.htmlhttp://zhidao.baidu.com/question/381609729.htmlhttp://zhidao.baidu.com/question/382168451.htmlhttp://zhidao.baidu.com/question/381474284.htmlhttp://zhidao.baidu.com/question/380857989.htmlhttp://zhidao.baidu.com/question/373797743.htmlhttp://zhidao.baidu.com/question/372725782.htmlhttp://zhidao.baidu.com/question/372146860.htmlhttp://zhidao.baidu.com/question/372072811.htmlhttp://zhidao.baidu.com/question/371191204.htmlhttp://zhidao.baidu.com/question/370287024.htmlhttp://zhidao.baidu.com/question/367513089.htmlhttp://zhidao.baidu.com/question/367437740.htmlhttp://zhidao.baidu.com/question/367406912.htmlhttp://zhidao.baidu.com/question/367296546.html

ARP攻击怎样防御？

用antiarp就行 至于原理，就是病毒通过修改mac本机mac地址，伪装成网关，然后网内其它机器要通过网关上网的话，就会连到有病毒的机器。

病毒会每隔几分钟掉一次线，于是网内的其它机器掉线以后（比如玩网游的）要重新输入用户名密码登陆，这时病毒就会检索数据包，盗取用户名和密码。

户受到一种名为＂ARP欺骗木马程序（病毒）＂的攻击（ARP是＂Address Resolution Protocol＂＂地址解析协议＂的缩写），极大地影响了政务网用户的正常使用，给整个政务网的安全带来严重的隐患。

一、故障现象 通常上网计算机的网关设为192.168.X.254，这个地址是核心交换机（三层交换机）的IP地址。

将网关改为路由器的IP地址192.168.X.253后可正常上网。

病毒发作时其症状表现为计算机网络连接正常，却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致政务网用户上网不稳定，时断时通。

中毒机器在局域网中发送假的APR应答包进行APR欺骗， 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址，导致无法上网。

计算机重新启动后短时间内可以上网，稍过一会儿就出现只有网络连接，但打不开网页的现象。

二、ARP 欺骗病毒原理分析 在局域网中，一个主机要和另一个主机进行直接通信，除知道目标主机的IP地址外还必须要知道目标主机的MAC地址。

但这个目标MAC地址是如何获得的呢？就是通过地址解析协议获得的。

所谓＂地址解析＂就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

即ARP协议是用来来完成IP地址转换为MAC地址（即第二层物理地址）的。

在局域网中，网络中实际传输的是＂帧＂，帧里面是有目标主机的MAC地址的。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。

因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。

在DOS窗口输入命令arp -a 可以看到如下所示的对应关系。

C:\Documents and Settings\Administrator>arp -a Internet Address Physical Address Type 192.168.1.1 aa-aa-aa-aa-aa-aa dynamic 主机A 192.168.1.2 bb-bb-bb-bb-bb-bb dynamic 主机B 192.168.1.3 cc-cc-cc-cc-cc-cc dynamic 主机C 192.168.1.4 dd-dd-dd-dd-dd-dd dynamic 主机D Internet Address 指IP地址，Physical Address 指物理地址，type 指类型。

通过以上示例可以看出IP地址为192.16.16.1的IP地址对应的物理地址 （即MAC地址）为aa-aa-aa-aa-aa-aa，其类型为动态。

我们以主机A(192.168.1.1)向主机B(192.168.1.2)发送数据为例。

当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。

如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是＂FF.FF.FF.FF.FF.FF＂，这表示向同一网段内的所有主机发出这样的询问： ＂192.168.1.2的MAC地址是什么？＂网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应： ＂192.168.1.2的MAC地址是bb-bb-bb-bb-bb-bb＂。

这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。

同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。

对目标A进行欺骗，A去Ping主机C却发送到了 DD-DD-DD-DD-DD-DD这个地址上。

如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。

这不正好是D能够接收到A发送的数据包了么，欺骗成功。

ARP协议对网络安全具有重要的意义。

通过伪造IP地址和MAC地址实现ARP欺骗，从而在网络中产生大量的ARP通信量使网络阻塞。

用伪造源MAC地址发送ARP响应包，是对ARP高速缓存机制的攻击。

攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

当攻击者大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。

三、定位ARP攻击源头 1.通过NBTSCAN（下载地址：http://bbs.ywan.com/down/2007-03-09/8067.html）查找病毒主机 关闭所有二层交换机，将管理员的计算机接在核心交换机上，此时管理员的计算机可正常上网。

Ping三层交换机的地址（即在dos窗口下输入命令ping 172.16.X.254），查看172.16.X.254的MAC地址（即在dos窗口下输入命令arp -a），并记下来，通过三层交换机IP地址得到三...

最强的ARP攻击软件

展开全部 现在的公司遇到arp攻击问题很多，像传统的解决arp攻击问题，就像你路由器的设置无非就是一个arp防火墙的软件，如，双绑，arp防火墙等都解决不了根本问题，arp属于以太网中正常的协议行为。

arp欺骗属于以太网自身的协议漏洞。

现在网络环境中arp攻击现象很多，往往遭到攻击时网速会很卡很慢甚至全网瘫痪，很麻烦，现在防止arp的措施也是很有限，无非就是做双绑，arp防火墙等但是这些效果都不是很好，就拿arp防火墙来说吧，ARP个人防火墙也有很大缺陷：1、它不能保证绑定的网关一定是正确的。

如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。

即使配置中不默认而发出提示，缺乏网络知识的用户恐怕也无所适从。

2 、ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个“双头怪”。

在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。

ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。

因为arp攻击的原理是：1、终端对网关的绑定要坚实可靠，这个绑定能够抵制被病毒捣毁。

2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。

3、网络内要有一个最可依赖的机构，提供对网关IP-MAC最强大的保护。

它既能够分发正确的网关信息，又能够对出现的假网关信息立即封杀。

所以建议你们网络升级为免疫网络，大家共享的网络谁也别想攻击，网络环境干净了。

自然不会影响使用...

彻底防御ARP攻击的简单方法？

1、做好本机防护(1)不浏览不安全网址。

现在很多网站本身都有挂马，浏览该网站就有“中标”的风险，因此对于不熟悉，不正规的网站要做到尽量不浏览！(2)及时修补系统漏洞。

对于微软修复系统漏洞，有好的一面也有坏的一面，每次微软发布漏洞补丁都等于告诉人们系统存在哪些不安全的因素，如果你没有及时修复漏洞，那么你就有可能成为被攻击者！(3)安装防火墙和杀毒软件。

很多人的电脑都在“裸奔”，不安装杀毒软件也不装防火墙，这种情况是最容易被成功入侵的。

因此建议把杀毒软件和防火墙全部安装并且定时更新杀毒。

2、使用路由器实现IP与MAC绑定杜绝ARP攻击(1)ARP攻击的原理在于伪装成目标主机接受信息，如果在路由器端设置了IP与MAC表，使用固定的ARP表，那么这种攻击就没有任何效果了。

(2)登录路由器，在浏览器或者网上邻居地址栏输入路由器登录地址192.168.1.1或者192.168.0.1（详细登录地址请看路由器背面），回车，按照提示输入帐号密码（路由器的初始帐号密码为admin），点击“确定”即可。

(3)点击“IP与MAC绑定”，选择“启用”ARP绑定并点击“保存”。

(4)点击“添加单个条目”，按照提示输入“IP”与“MAC”地址，并勾选“绑定”，点击“确定”即可。

3、安装ARP个人防火墙大部分杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。

常用的病毒防火墙软件有哪些

上网下一个彩影防火墙单机版吧简介：您的主机是否经常掉线，是否经常发生IP冲突？您的服务器是否被挂马，是否经常被黑客光顾？您是否担心通讯数据受到监控（如MSN、QQ、EMAIL）?您的网络速度、网络应用是否受到网管软件限制（如聚生网管、P2P终结者）？您是否深受各种ARP攻击软件之苦（如网络执法官、网络剪刀手、局域网终结者）？您管理的局域网是否一直被ARP病毒所困扰？以上各种问题的根源都是ARP欺骗（ARP攻击）。

选择ARP防火墙，可以完美解决上述所有问题。

ARP防火墙主要功能有，1. 拦截外部ARP攻击。

在系统内核层拦截接收到的虚假ARP数据包，保障本机ARP缓存表的正确性。

2. 拦截对外ARP攻击。

在系统内核层拦截本机对外的ARP攻击数据包，避免本机感染ARP病毒后成为攻击源。

3. 拦截IP冲突。

在系统内核层拦截接收到的IP冲突数据包，避免本机因IP冲突造成掉线等。

4. 主动防御。

主动向网关通告本机正确的MAC地址，保障网关不受ARP欺骗影响。

ARP防火墙辅助功能是围绕主要功能来设计的，目的是为了让主要功能模块更好的发挥作用。

辅助功能主要有，1. 智能防御。

在只有网关受到ARP欺骗的情况下，智能防御功能可以检测到并做出反应。

2. 可信路由监测。

在只有网关受到ARP欺骗的情况下，可信路由监测功能可以检测到并做出反应。

3. ARP病毒专杀。

发现本机有对外攻击行为时，自动定位本机所感染的恶意程序。

4. Dos攻击抑制。

在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包，并可定位恶意程序。

5. 安全模式。

除了网关外，不响应其它机器发送的ARP请求（ARP Request），达到隐身效果，减少受到ARP攻击的几率。

6. ARP流量分析。

分析本机接收到的所有ARP数据包，掌握网络动态，找出潜在的攻击者或中毒的机器。

7. 监测ARP缓存。

自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改，将报警并自动修复。

8. 定位攻击源。

发现本机受到ARP欺骗后，自动快速定位攻击者IP地址。

9. 系统时间保护。

防止恶意程序修改系统时间，导致一些安全防护软件失效。

10. IE首页保护。

防止IE首页被恶意程序篡改。

11. ARP缓存保护。

防止恶意程序篡改本机ARP缓存。

12. 自身进程保护。

防止ARP防火墙被恶意软件终止。

13. 检测局域网内的网管软件。

可检测到局域网内正在运行的网管软件，如网络执法官、聚生网管、P2P终结者等。

怎么防止arp攻击？有人用天易成网管软件限制我的网速,怎么能阻止

办法如下： arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现 第一 采用“看守式绑定”的方法，实时监控电脑ARP缓存，确保缓存内网关MAC和IP的正确对应。

在arp缓存表里会有一个静态的 绑定，如果受到arp的攻击，或只要有公网的请求时，这个静态的绑定又会自动的跳出，所以并不影响网络的正确的访问。

这种 方式是安全与网卡功能融合的一种表现，也叫作“终端抑制” 第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP” 映射表来转发数据，而是根据他们在NAT表中的MAC来确定（这样就会是只要数据可以转发出去就一定可以回来）就算ARP大规模 的爆发，arp表也混乱了但是并不会给我们的网络造成任何影响。

（不看IP/MAC映射表）这种方法在现有控制ARP中也是最彻底的 。

也被称为是“免疫网络”的重要特征。

如何反arp攻击

根据360追踪到的IP地址 应该跟你处于同一个局域网 打开360 然后开启ARP防火墙 这个菜鸟所使用的是网关欺骗 那么网管应该有 该局域网内所有IP 和IP对应的MAC地址 新建一个记事本 输入如下命令arp -s IP地址 MAC地址arp -s IP地址 MAC地址........就按照这样的格式 例如局域网内172.17.48.3对应的MAC地址是 1a-2b-3c-4d 就输入 arp -s 172.17.48.3 1a-2b-3c-4d将局域网内所有的IP 和MAC地址都按照这样的格式 输入到记事本然后文件另存为 保存类型选所有文件 文件名为***.bat 注意文件后缀名为bat保存 后桌面会出现一个MS-DOS的批处理文件 当下次 遇到ARP网关欺骗攻击 网络连接中断 网管运行一下该批处理文件 就能在短时间内修复 攻击造成的网络瘫痪

如何解决ARP攻击并且反击

彻底分析ARP病毒 查杀防范ARP全攻略前段时间在全国范围内大规模爆发arp病毒及其各种变种。

如果局域网中发现许多台电脑中毒，电脑中毒后会向同网段内所有计算机发ARP欺骗包，由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢，掉线；甚至无法上网，同时造成整个局域网的不稳定，这种现象就是我们常见的ARP病毒。

ARP病毒入侵首先让我们看看这种网络病毒在网络中如何实现 ARP欺骗.看看这样一个例子：一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.168.0.111（假设）这个ip开放23口 （telnet），而他必须要使用telnet来进入这台主机，所以他要这么做以下几步：1、他先研究192.168.0.111这台主机，发现这台windowsxp的机器使用一个oob就可以让他死掉。

2、于是，他发送一个洪水包给192.168.0.111的139端口，于是，该机器接到数据包而死。

3、这时，主机发到192.168.0.111的ip包将无法得到响应，系统开始更新自己的arp对应表。

将192.168.0.111的项目除去。

4、这段时间里，入侵者把自己的ip改成192.168.0.111。

5、他再发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表。

6、主机找到该ip，然后在arp表中加入新的ip-->mac对应关系。

7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。

ARP病毒原理：arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。

它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。

为什么要将ip转化成mac呢？简单的说，这是因为在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义。

但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。

也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip 包。

因为在网络中，每一台主机都会有发送ip包的时候。

所以，在每台主机的内存中，都有一个 arp-->mac 的转换表。

通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。

也就是说，该对应表会被主机在需要的时候刷新。

这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。

目前局域网主要流行有两种方式：DHCP（动态主机配置）固定的ip地址DHCP（动态主机配置）使网络管理员能够集中管理和自动分配 IP 网络地址的通信协议。

在 IP 网络中，每个连接 Internet 的设备都需要分配唯一的 IP 地址。

DHCP 使网络管理员能从中心结点监控和分配 IP 地址。

当某台计算机移到网络中的其它位置时，能自动收到新的 IP 地址。

DHCP 使用了租约的概念，或称为计算机 IP 地址的有效期。

租用时间是不定的，主要取决于用户在某地联接 Internet 需要多久， DHCP 能够在一个计算机比可用 IP 地址多的环境中动态地重新配置网络。

如果这种网络感染了这种病毒，可想而知，因为所有的计算机没有固定的ip地址，计算机的重启，重新获取了新的ip地址。

只有通过Tracert和固定ip冲突来查找病毒计算机。

我们假设在这样局域网中增加一台机器，操作系统均为WINDOWSXP，该计算机的IP地址和网卡硬件地址分别为192.168.10.100和00- 00-0D-50-EE-B1。

该局域网内网网关为192.168.10.1；外网网关为222.*.*.1.当网络出现断流时， 通过Tracert www.it168.com 你可以观察出路由变化情况，正常的第一跳为 192.168.10.1， 不正常为该病毒计算机.虽然判断出哪个固定ip地址的计算机在出问题，由于固定ip地址随意行，不好判断是那台计算机； 利用IP冲突方式来判断（一个局域网中不可以同时有两个相同的ip，否则就会发生冲突，结果必然是其

转载请注明出处51数据库 » 防御arp攻击的软件