Question

公司局域网内的一台电脑中毒了,我怀疑这台电脑发ARP攻击,怎么办？？？

公司局域网内的一台电脑中毒了,老是向其他电脑发ARP攻击,尤其是老是向我的这台电脑发送ARP攻击,我已经装360安全卫士,仍是不断掉线。中毒的那台电脑也杀过毒了，也还是不管用 请高手指教一下了。

Answer 1

arp在目前看来可以分为7中之多。

1、arp欺骗（网关、pc）

2、arp攻击

3、arp残缺

4、海量arp

5、二代arp（假ip、假mac)

因为二代的arp最难解决，现在我就分析一下二代arp的问题。

现象   ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，网络有面临新一轮的掉线和卡滞盗号的影响！

原理  二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定（首先执行的是arp -d然后在执行的是arp -s ，此时绑定的是一个错误的MAC)伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。

解决办法    （1）部分用户采用的“双/单项绑定”后，ARP攻击得到了一定的控制。

面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定，使得电脑静态绑定的方式无效。

（2）部分用户采用一种叫作“循环绑定”的办法，就是每过一段“时间”客户端自动绑定一个“IP/MAC”。

面临问题如果我们“循环绑定”的时间较长（比arp清除的时间长）就是说在“循环绑定”进行第二次绑定之前就被清除了，这样对arp的防范仍然无效。如果“循环绑定”的时间过短（比arp清除时间短）这块就会暂用更多的系统资源，这样就是“得不偿失”

（3）部分用户采用一种叫作“arp防护”，就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”

面临问题如果发送的“频率”过快（每秒发送的ARP多）就会严重的消耗内网的资源（容易造成内网的堵塞），如果发送“频率”太慢（没有arp协议攻击发出来频率高）在arp防范上面没有丝毫的作用。

最彻底的办法

（4）arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现

第一 采用“看守式绑定”的方法，实时监控电脑ARP缓存，确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定，如果受到arp的攻击，或只要有公网的请求时，这个静态的绑定又会自动的跳出，所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现，也叫作“终端抑制”

第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据，而是根据他们在NAT表中的MAC来确定（这样就会是只要数据可以转发出去就一定可以回来）就算ARP大规模的爆发，arp表也混乱了但是并不会给我们的网络造成任何影响。（不看IP/MAC映射表）这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。

  目前看只有巡路免疫网络具备此项特殊功能表现。 

可以准确的定位是那一台机器出了问题，这是一个好的管理工具如下图

Answer 2

你一定要认清楚ARP攻击所属于的病毒攻击类型，他和单机病毒、系统蠕虫病毒、木马病毒是完全不同的，以上病毒攻击可以称之为单机应用层的攻击，一旦中了单机病毒，那么有以下几个特征可以供咱们去查杀它们，在系统进程中可以看到莫名的不认识的进程，可以看到CUP大量资源被某个进程占用。系统盘里面有不知名的非法执行程序。这些都可以通过杀毒软件去查杀。也可以人为的删除比如做系统什么的。
但是ARP攻击是以太网协议先漏洞产生的底层协议攻击，他不同于单机病毒会有种种现象供我们查杀。因为他主要工作在数据链路层和第三层之间，而杀毒软件一般工作在应用层，所以根本无法查杀它们，向360提供的发现ARP攻击被拦截，它发现的是攻击信息，拦截的是攻击信息，是为了告诉人们你或者整个局域网被ARP攻击了，他拦截的不是攻击。只是攻击时的虚假地址信息，因为这个虚假信息在内网中根本就不存在，所以我们也就没办法知道是谁被攻击或者是谁发起的攻击。
那么 怎么彻底解决ARP协议攻击呢？想要彻底解决他那么只有解决以太网协议的先天漏洞，毕竟咱们所有的网络都是跑在以太网上面的，只有解决了以太网协议漏洞，才能根除各种协议攻击。因为ARP协议攻击给我们造成的损失时无法预测的，目前的一些简单的现象就可以体现出ARP攻击的威胁有多大，比如掉线、卡网速慢，VPN连接不通畅，视频会议不清晰，更甚至导致电脑机密资源和账号被盗取，比以往的木马什么的单机病毒威胁更大、更严重。因为你的资源被窃取了有可能自己都不知道，他不向木马病毒你可以查杀到他，协议攻击是无法看到的。
很可能你们对“免疫网络”还不知道是怎么一回事，你可以先体会下“免疫”这个词语就是以自己本身的防御力为主。只有自己的免疫增强了才能抵御外界的病毒侵害，如果想详细了解“免疫网络”你可以联系下北京欣全向科技有限公司，该公司的巡路免疫网络解决方案完全是针为用户打造免疫网络，而研发的方案。

Answer 3

ARP是以太网的协议漏洞，是因为以太网不善于管理，如果要想彻底防止ARP就要管理好网内的每台电脑，这种ARP攻击是从每台终端发起的，现在有免疫墙的方案，它通过在每台终端安装免疫驱动，从网卡读取信息，读取的信息是真实地，不像360防火墙从系统中读取信息，如果系统的信息是错误的那他们读取的信息就是错误的，免疫驱动管理每台电脑，拦截虚假的信息，保证发出去的信息是正确的，这样就不会去影响别人的电脑了

Answer 4

LZ应该知道二代的ARP病毒用这些杀毒软件是杀不出来的。
解决办法
1、在你上不去的电脑上arp -a一下，看看获取到的MAC和IP和网关mac和ip是否一致！
2、如果不一致，检查网络里面是否有这个MAC-IP的路由设备，或者通过抓包找出发起arp攻击的IP
3、通过一些arp检查工具查找攻击源，找出后重做系统（发arp的机器未必是上不去网的哦）

我个人认为掉线问题都是由于底层漏洞出的问题 例如(arp\udp\tcp syn）攻击。一些传统的360卫士、arp防火墙，杀毒软件我

都试过了也都不行。
最后我是通过免疫网络彻底的解决了网络底层问题，这东西网上有很多，但好像只有一个叫巡路的在做，而且还有免费的。希望对LZ有帮助。

Answer 5

你给你认为中毒的电脑杀毒了，其实你杀毒的那台不是发送ARP攻击的电脑，病毒会利用别的电脑发送ARP数据包攻击你，会伪装IP地址，所以你还是好好找找，到底是哪台电脑真正中病毒了