Question

请电脑高手帮忙解答有关ARP攻击和病毒的问题

我用的是校园网，局域网里有ARP攻击，以前我不知道ARP攻击是怎么回事，没用ARP防火墙，前几天发现电脑桌面多了一个ie浏览器图标和淘宝图标，ie打不开，而淘宝能打开，别的桌面上的应用软件双击都打不开，点一下暗下去，再点一下又变得更暗，点击桌面，再按esc回复原样。我第一感觉是中毒了，然后重做了一下系统，因为我光驱坏了，把系统解压到E盘windows直接安装的Ghost版，然后格式化D,E盘（一共3个分区）。然后上网发现客户端登录不上，查了一下mac发现mac号与原本的（报给网络中心的）最后一个数不一样，原本最后是F7,查出的是F6，然后我我的电脑-属性-硬件-设备管理器—网络适配器属性-高级network address值中手动改回可以上网，发现有一个问题就是玩qq军旗时一卡一卡的，原来不会卡。我安装的是雨林木风y6.0纯净版，已安装360安全卫士开了ARP防护。
我有几个疑问:
1，原来的那种情况是中毒还是恶意插件？与ARP攻击有没有关系？如果是毒这是什么病毒？我用360杀显示无毒，是不是新的病毒。
2，我mac默认的号现在是F6不是原来的F7让我心里不舒服，怎么能彻底的改回去?是不是我现在电脑里还有毒？（用360，nod32都没杀出）
3，qq军旗现在卡，cpu占用率很高，是怎么回事？怎么造成的？

Answer 1

arp在目前看来可以分为7中之多。

1、arp欺骗（网关、pc）

2、arp攻击

3、arp残缺

4、海量arp

5、二代arp（假ip、假mac)

因为二代的arp最难解决，现在我就分析一下二代arp的问题。

现象   ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，网络有面临新一轮的掉线和卡滞盗号的影响！

原理  二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定（首先执行的是arp -d然后在执行的是arp -s ，此时绑定的是一个错误的MAC)伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。

解决办法    （1）部分用户采用的“双/单项绑定”后，ARP攻击得到了一定的控制。

面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定，使得电脑静态绑定的方式无效。

（2）部分用户采用一种叫作“循环绑定”的办法，就是每过一段“时间”客户端自动绑定一个“IP/MAC”。

面临问题如果我们“循环绑定”的时间较长（比arp清除的时间长）就是说在“循环绑定”进行第二次绑定之前就被清除了，这样对arp的防范仍然无效。如果“循环绑定”的时间过短（比arp清除时间短）这块就会暂用更多的系统资源，这样就是“得不偿失”

（3）部分用户采用一种叫作“arp防护”，就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”

面临问题如果发送的“频率”过快（每秒发送的ARP多）就会严重的消耗内网的资源（容易造成内网的堵塞），如果发送“频率”太慢（没有arp协议攻击发出来频率高）在arp防范上面没有丝毫的作用。

最彻底的办法

（4）arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现

第一 采用“看守式绑定”的方法，实时监控电脑ARP缓存，确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定，如果受到arp的攻击，或只要有公网的请求时，这个静态的绑定又会自动的跳出，所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现，也叫作“终端抑制”

第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据，而是根据他们在NAT表中的MAC来确定（这样就会是只要数据可以转发出去就一定可以回来）就算ARP大规模的爆发，arp表也混乱了但是并不会给我们的网络造成任何影响。（不看IP/MAC映射表）这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。

  目前看只有巡路免疫网络具备此项特殊功能表现。

Answer 2

目前处理arp欺骗的问题大多是网关和终端双向绑定ip和mac地址，终端再安装arp防火墙，但这样并不能完全解决arp的问题。
其一：有些arp木马在你的arp防火墙运行之前就修改了你的mac地址，使arp防火墙绑定的ip/mac原本就错误。让你的arp防火墙成为帮凶。
其二：不能防止局域网内一些人恶意攻击其他机器，或用一些软件控制其他机器，比如p2p终结者，聚生网管等软件。使局域网内充斥着大量的arp数据包，导致网络延时，丢包等问题。
目前市场上解决arp问题比较彻底的是欣向的免疫墙路由器，它独有的免疫网路解决方案能够彻底解决arp攻击问题。欣向的免疫墙路由器具有先天免疫功能，通过对协议的改动将nat表和arp表融合，当有arp请求时将直接查询nat表，使针对网关arp表的欺骗完全失去作用。终端装有免疫网卡驱动，直接读取烧录在网卡上的mac地址，保证正确。过滤恶意的arp数据包以及其他常见的洪水攻击，使网络保持畅通。

Answer 3

ARP欺骗方式共分为两种：一种是对路由器ARP表的欺骗，该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网；另一种是对内网PC的网关欺骗，仿冒网关的mac地址，发送arp包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。
针对这种情况提供以下解决办法：
方法一、在收到ARP欺骗的本机，在开始--运行中，输入“cmd”，进入ms-dos，通过命令行窗口输入“arp -a”命令，查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具（如sniffer或antiarp）查找局域网中发arp包最多的IP地址，也可判断出中病毒计算机。
造成arp欺骗的病毒，其实是普通的病毒，只要判断出发包源，使用杀毒软件进行清查，是可以彻底解决的。

Answer 4

分析问题原因：
首先排除硬件问题可以使用
1.中了arp攻击或欺骗
2.或者是别人下载抢占带宽了，导致你网页打不开
解决办法：

1、在你上不去的电脑上arp -a一下，看看获取到的MAC和IP和网关mac和ip是否一致！
2、如果不一致，检查网络里面是否有这个MAC-IP的路由设备，或者通过抓包找出发起arp攻击的IP
3、通过一些arp检查工具查找攻击源，找出后重做系统（发arp的机器未必是上不去网的哦）
4.看看内网是否有人恶意抢占带宽

原理：
我个人认为这些问题都是由于底层漏洞出的问题例如(arp\udp\tcp syn）都会造成你

所说的现象。
一些传统的360卫士、arp防火墙，杀毒软件我都试过了也都不行。
最好可以把你现有的网络升级成免疫网络 ，你现有的问题肯定不会存在了。

Answer 5

arp功击不可能让你中恶意插件，这个是你下别的软件安装的时候弄上去的。
应该是你mac的时候抄错了，现在是6就是6
qq的问题，把qq游戏卸掉，重装一下试试