有关arp攻击的问题
最近家里电脑网速越来越慢,网络频繁掉线,超郁闷,怀疑是中了arp病毒,打电话问运营商他说我们这个小区的电缆有问题,着在向上级反映情况,到底不知道什么原因,但是我的360A...
最近家里电脑网速越来越慢,网络频繁掉线,超郁闷,怀疑是中了arp病毒,打电话问运营商他说我们这个小区的电缆有问题,着在向上级反映情况,到底不知道什么原因,但是我的360ARP防火墙却查出来了ARP攻击,超郁闷 ,我家装的铁通,接了个路由,家里三台电脑用。有说4m带宽,也有说2m的,具体几兆也不知道了,但是下载速度从没上过100k,好点了70 80 差点了10几k ,有事网页都打不开,然后就该掉线了。。。。
下面附图问几个问题
1.网关MAC地址跟路由器amc地址不符 路由mac为00:E0:5C:0C:DA:7B,但是360和命令arp -a 查出来的却是00:E0:5C:0C:DA:7a 不知道什么原因,00:E0:5C:0C:DA:7a这个mac地址从哪来啊,非家中三台电脑的mac,拦截了另一条arp攻击的mac地址也不知道是哪里的,超郁闷。这是什么原因啊,求高手回答
2具体什么时候拦截的,我记不清了,是接路由的时候还是没接路由的时候,也记不住了,能确定的是没接路由直接连毛用ppoe拨号时360拦截了。能拨号成功,但是也是频繁掉线。重启机器又是侯会好,有时没用,这根arp又关没?
3如果说是中了arp病毒,该如何下手,如何找到病毒所在主机,我怀疑三台电脑两台都中毒了,查出侯如何处理,怎样杀毒,杀毒软件查不出来。别抄袭。
4根据上述描述,是否能确定是中毒了还是运营商的问题。
5暂时就这个几个问题,尽量别复制粘贴,如果回答的好了追加50分 展开
下面附图问几个问题
1.网关MAC地址跟路由器amc地址不符 路由mac为00:E0:5C:0C:DA:7B,但是360和命令arp -a 查出来的却是00:E0:5C:0C:DA:7a 不知道什么原因,00:E0:5C:0C:DA:7a这个mac地址从哪来啊,非家中三台电脑的mac,拦截了另一条arp攻击的mac地址也不知道是哪里的,超郁闷。这是什么原因啊,求高手回答
2具体什么时候拦截的,我记不清了,是接路由的时候还是没接路由的时候,也记不住了,能确定的是没接路由直接连毛用ppoe拨号时360拦截了。能拨号成功,但是也是频繁掉线。重启机器又是侯会好,有时没用,这根arp又关没?
3如果说是中了arp病毒,该如何下手,如何找到病毒所在主机,我怀疑三台电脑两台都中毒了,查出侯如何处理,怎样杀毒,杀毒软件查不出来。别抄袭。
4根据上述描述,是否能确定是中毒了还是运营商的问题。
5暂时就这个几个问题,尽量别复制粘贴,如果回答的好了追加50分 展开
4个回答
展开全部
你连接的是小区宽带还是局域网?小区宽带很少会有ARP。
ARP病毒:
症状:由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。
该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。
解决办法:一般出现局域网
软件百度搜索下
推荐软件:http://www.antiarp.com/down.asp?ArticleID=81
市面上有众多的ARP防火墙
建议用彩影ARP,风云防火墙。
建议采用双向绑定解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址
首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。
编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将网关IP和MAC更改为您自己的网关IP和MAC即可,让这个文件开机运行(拖到“开始-程序-启动”)。
自己手动清除病毒:
1、立即升级操作系统中的防病毒软件和防火墙,同时打开“实时监控”功能,实时地拦截来自局域网络上的各种ARP病毒变种。
2、立即根据自己的操作系统版本下载微软MS06-014和MS07-017两个系统漏洞补丁程序,将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中,防止病毒变种的感染和传播。
3、检查是否已经中毒:
a. 在设备管理器中, 单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 查找是否存在:“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”,如果存在,就表明已经中毒。
4、对没有中毒机器,可以下载软件Anti ARP Sniffer,填入网关,启用自动防护,保护自己的ip地址以及网关地址,保证正常上网。
5、对已经中毒电脑可以用以下方法手动清除病毒:
(1)删除:%windows%\System32\LOADHW.EXE (有些电脑可能没有)
(2)a. 在设备管理器中, 单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”
d. 右点击,”卸载”
e. 重启系统
(3)删除:%windows%\System32\drivers\npf.sys
(4)删除%windows%\System32\msitinit.dll(有些电脑可能没有)
(5)删除注册表服务项:开始〉运行〉regedit〉打开,进入注册表,全注册表搜索npf.sys,把文件所在文件夹Npf整个删除.(应该有2个).至此arp病毒清除.
(6)根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改winsocks,导致不能打开网页,不能打开netmeeting等,为此还需要做下面几步工作:
a.用杀毒软件清理恶意软件,木马.
b.检查并删除下列文件并相关启动项:
1)%windows%\System32\nwizwmgjs.exe(一般杀毒软件会隔离)
2)%windows%\System32\nwizwmgjs.dll(一般杀毒软件会隔离)
3)%windows%\System32\ravzt.exe(一般杀毒软件会隔离)
4)%windows%\System32\ravzt.dat
3)%windows%\System32\googleon.exe
c.重置winsocks(可以用软件修复,下面介绍一个比较简单的办法):
开始>运行>CMD,进入命令提示符,输入cd..回车,一直退出至c盘根目录,在C:>下输入netsh winsock reset回车,然后按提示重启计算机。
下载ARP专杀工具!!
最好的办法就是不要用铁通的了,改电信网通的吧。
ARP病毒:
症状:由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。
该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。
解决办法:一般出现局域网
软件百度搜索下
推荐软件:http://www.antiarp.com/down.asp?ArticleID=81
市面上有众多的ARP防火墙
建议用彩影ARP,风云防火墙。
建议采用双向绑定解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址
首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。
编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将网关IP和MAC更改为您自己的网关IP和MAC即可,让这个文件开机运行(拖到“开始-程序-启动”)。
自己手动清除病毒:
1、立即升级操作系统中的防病毒软件和防火墙,同时打开“实时监控”功能,实时地拦截来自局域网络上的各种ARP病毒变种。
2、立即根据自己的操作系统版本下载微软MS06-014和MS07-017两个系统漏洞补丁程序,将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中,防止病毒变种的感染和传播。
3、检查是否已经中毒:
a. 在设备管理器中, 单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 查找是否存在:“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”,如果存在,就表明已经中毒。
4、对没有中毒机器,可以下载软件Anti ARP Sniffer,填入网关,启用自动防护,保护自己的ip地址以及网关地址,保证正常上网。
5、对已经中毒电脑可以用以下方法手动清除病毒:
(1)删除:%windows%\System32\LOADHW.EXE (有些电脑可能没有)
(2)a. 在设备管理器中, 单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”
d. 右点击,”卸载”
e. 重启系统
(3)删除:%windows%\System32\drivers\npf.sys
(4)删除%windows%\System32\msitinit.dll(有些电脑可能没有)
(5)删除注册表服务项:开始〉运行〉regedit〉打开,进入注册表,全注册表搜索npf.sys,把文件所在文件夹Npf整个删除.(应该有2个).至此arp病毒清除.
(6)根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改winsocks,导致不能打开网页,不能打开netmeeting等,为此还需要做下面几步工作:
a.用杀毒软件清理恶意软件,木马.
b.检查并删除下列文件并相关启动项:
1)%windows%\System32\nwizwmgjs.exe(一般杀毒软件会隔离)
2)%windows%\System32\nwizwmgjs.dll(一般杀毒软件会隔离)
3)%windows%\System32\ravzt.exe(一般杀毒软件会隔离)
4)%windows%\System32\ravzt.dat
3)%windows%\System32\googleon.exe
c.重置winsocks(可以用软件修复,下面介绍一个比较简单的办法):
开始>运行>CMD,进入命令提示符,输入cd..回车,一直退出至c盘根目录,在C:>下输入netsh winsock reset回车,然后按提示重启计算机。
下载ARP专杀工具!!
最好的办法就是不要用铁通的了,改电信网通的吧。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
哈哈,就冲LZ一句--全市TM欣向的托也要回个答案~~~~
解决方案比较多
PPPOE接入,完全免疫ARP,支持用户验证,支持计费限速,适合N多地方,特别适合小区,宾馆,相当的灵活,如果需要局域网功能的话,可以使用VPN,不是啥难题,关键的难处在屏蔽私接共享,由于是通用的PPPOE协议,所以用户使用任意一款路由器就可以扩展网络,折中方案是限速加限连接数,网通电信屏蔽路由器不知道费了多少力气还不是被人屡屡破解,咱们就别费心思了,
目前还有一种Dr.com认证方式,比较BT,被人骂的不轻,目前没有路由支持,只能做破解主机共享,认证方式特别,目前很多学校和小区都用,需要安装特殊客户端和防火墙,跟欣向有点相似,是用特殊的封包来解决绑定的正确性,数据包有没有特殊封装就不知道了,防ARP效果还行
交换机绑定端口或者单机划分VLAN,这方案有点贵,不灵活不适用小区和学校,宾馆,也就在网吧或者单位还能用下,其中单机VLAN需要三层交换机才能互联各个网段,所以网吧也不适合
剩下的就是不完美方案了,双绑,最省钱而且还比较有效的方案,目前网吧都是用的这一方案,局域网共享完美,但是仅仅只是不受ARP攻击,但是ARP攻击包仍旧在网络存在,所以说不完美
欣向的啥免疫墙,说白了就是特殊封包加单机防火墙加远端控制而已,其中特殊封包需要在分机安装客户端软件,从客户机出来的数据包是特殊封装,不安装客户端的机器是不能上网的,目前不知道是所有数据包特殊封装,还是只是防火墙数据包特殊封装,单机防火墙用特殊数据包与管理端通讯,获取正确的网关信息,远端管理端监控下面的防火墙,没啥技术含量,N多软件可以做到,就是数据包特殊封装有点意思,不过问题是特殊封装了,兼容性也就差了,速度上也慢,如果局域网有其他平台的主机,服务器,那就看好戏吧,看看欣向的工程师们怎么解决~~~~~~~~~
说白了,欣向的东西没有新意,也就是一堆技术的集合,再来五百年也打不进米国
解决方案比较多
PPPOE接入,完全免疫ARP,支持用户验证,支持计费限速,适合N多地方,特别适合小区,宾馆,相当的灵活,如果需要局域网功能的话,可以使用VPN,不是啥难题,关键的难处在屏蔽私接共享,由于是通用的PPPOE协议,所以用户使用任意一款路由器就可以扩展网络,折中方案是限速加限连接数,网通电信屏蔽路由器不知道费了多少力气还不是被人屡屡破解,咱们就别费心思了,
目前还有一种Dr.com认证方式,比较BT,被人骂的不轻,目前没有路由支持,只能做破解主机共享,认证方式特别,目前很多学校和小区都用,需要安装特殊客户端和防火墙,跟欣向有点相似,是用特殊的封包来解决绑定的正确性,数据包有没有特殊封装就不知道了,防ARP效果还行
交换机绑定端口或者单机划分VLAN,这方案有点贵,不灵活不适用小区和学校,宾馆,也就在网吧或者单位还能用下,其中单机VLAN需要三层交换机才能互联各个网段,所以网吧也不适合
剩下的就是不完美方案了,双绑,最省钱而且还比较有效的方案,目前网吧都是用的这一方案,局域网共享完美,但是仅仅只是不受ARP攻击,但是ARP攻击包仍旧在网络存在,所以说不完美
欣向的啥免疫墙,说白了就是特殊封包加单机防火墙加远端控制而已,其中特殊封包需要在分机安装客户端软件,从客户机出来的数据包是特殊封装,不安装客户端的机器是不能上网的,目前不知道是所有数据包特殊封装,还是只是防火墙数据包特殊封装,单机防火墙用特殊数据包与管理端通讯,获取正确的网关信息,远端管理端监控下面的防火墙,没啥技术含量,N多软件可以做到,就是数据包特殊封装有点意思,不过问题是特殊封装了,兼容性也就差了,速度上也慢,如果局域网有其他平台的主机,服务器,那就看好戏吧,看看欣向的工程师们怎么解决~~~~~~~~~
说白了,欣向的东西没有新意,也就是一堆技术的集合,再来五百年也打不进米国
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
杀ARP毒的软件有很多
金山ARP防火墙
ARP卫士
ARP防火墙
风云防火墙
360ARP防火墙等等
但我在此不推荐用金山的
因为安装后系统奇慢无比
最好的应该是360ARP防火墙短小精悍能满足你的所有要求
金山ARP防火墙
ARP卫士
ARP防火墙
风云防火墙
360ARP防火墙等等
但我在此不推荐用金山的
因为安装后系统奇慢无比
最好的应该是360ARP防火墙短小精悍能满足你的所有要求
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
我还是推荐 欣向的,具体的原理我不知道,但是我就知道以前我网络上arp攻击满天飞,但是现在用上速度稳定 比以前快多了。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(2)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
您可能需要的服务
百度律临官方认证律师咨询
平均3分钟响应
|
问题解决率99%
|
24小时在线
立即免费咨询律师
19407人正在获得一对一解答
南京彩虹之旅3分钟前提交了问题
深圳蓝天飞翔3分钟前提交了问题
长沙森林舞者2分钟前提交了问题
