Question

局域网内有电脑被ARP攻击了如何追踪是那台电脑中毒了？

先公司局域网内有电脑被ARP攻击，先通过防火墙查到中毒电脑的MAC并查到了IP地址，但在非攻击时此IP地址无法ping通只有发动攻击的那段时间才能ping通，如何确定是那台电脑中了ARP病毒？

Answer 1

您好：

如果您的区域网被ARP病毒攻击的话，建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧，打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦，腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件，是完全可以帮助您查杀病毒而且保护您的电脑的哦。

您可以点击这里下载最新版的腾讯电脑管家：最新版腾讯电脑管家下载

腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

Answer 2

ARP欺骗方式共分为两种：一种是对路由器ARP表的欺骗，该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网；另一种是对内网PC的网关欺骗，仿冒网关的mac地址，发送arp包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法：
方法一、在收到ARP欺骗的本机，在开始--运行中，输入“cmd”，进入ms-dos，通过命令行窗口输入“arp -a”命令，查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具（如sniffer或antiarp）查找局域网中发arp包最多的IP地址，也可判断出中病毒计算机。
造成arp欺骗的病毒，其实是普通的病毒，只要判断出发包源，使用杀毒软件进行清查，是可以彻底解决的。

追问

物防查到的IP和Mac都是虚假的攻击结束后会停用只有发动下一波攻击时才会启用这个IP和Mac

Answer 3

1. 局域网内被ARP攻击了，说明局域网内有人用了ARP式的软件。

2. 可以下载一些安全防护累的软件例如腾讯电脑管家，卡巴斯基等，这些程序都有ARP防火墙。

3. 通过arp防火墙的拦截记录中可以查询到攻击主机的MAC+IP地址
   

4. 登录路由器，匹配ip和mac就能看到攻击主机信息，
   

Answer 4

没法查...只能一台一台断网找，ARP攻击发起源都是虚拟的，IP、MAC都是假的，如果你真的想找到是哪台，在没有专用设备的时候只能一台一台测，而且不能快，每台设备离网之后都要等一段时间。

如果你有网络监控设备的话，你可以看看哪台设备流量最大，如果是办公环境应该差不了太多，那种很明显的超出正常范围很多的有可能就是了

追问

晕…没有专杀的软件吗？我们有硬防是否可以用硬防屏蔽？

Answer 5

不是知道MAC地址，你每台排查啊 ，本地连接那里 叫物理地址 或者你上路由器看下是哪个物理地址，把那台电脑断网 就知道哪台断网就哪台中毒 最好在核对下MAC地址（物理地址）

追问

虚假地址

追答

那你可以看路由流量

追问

什么意思？

追答

网络攻击和被攻击一般流量都会增大

追问

就是说看同一时间里那个IP的流量突然变大了？

追答

嗯

追问

但是好像物防里没有找到这个查看流量的功能啊

追答

流量统计里没有 你也可以跟根据这几天哪台流量大就可以找到了，跟他们说最好不要下东西，看视频 反正做不要做流量大的事

追问

好像没有单个IP的只有总流量

追答

不会吧 什么路由器

追问

sonlcwall