Question

ARP局域网攻击，怎么找局域网里是哪一台电脑中毒了？？？

ARP局域网攻击，怎么找局域网里是哪一台电脑中毒了？？？
路由器里的日志是：
IP绑定冲突: LAN 中MAC地址为 00-27-19-8A-1E-6C 的主机尝试使用IP地址 192.168.1.1.
它伪装了mac地址，局域网里没有发现这个mac地址00-27-19-8A-1E-6C
在路由器里也设置了绑定IP和mac
也安装了ARP防火墙，现在是查不到是哪一台电脑中毒了

Answer 1

楼主你好

估计你自己不好查了，最好找专业的人员，也许有戏

 

这个只能自己防范，可以修改密码。访问路由器，在其中设置IP地址和Mac地址绑定，这样ARP攻击就无效了

建议你还可以开启ARP防火墙

ARP防火墙,简单来说是局域网的防火墙，当你的电脑是属于局域网的电脑时，你用这个ARP防火墙时，可以防止他人用：“网络执法官、网络剪刀手、局域网终结者”之类的软件来攻击你，使你的电脑无法上网。

 

你可以试试腾讯电脑管家，免费专业安全软件，杀毒管理二合一，占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证安全。

打开电脑管家——首页——工具箱——ARP防火墙开启

Answer 2

没法查...只能一台一台断网找，ARP攻击发起源都是虚拟的，IP、MAC都是假的，如果你真的想找到是哪台，在没有专用设备的时候只能一台一台测，而且不能快，每台设备离网之后都要等一段时间。

如果你有网络监控设备的话，你可以看看哪台设备流量最大，如果是办公环境应该差不了太多，那种很明显的超出正常范围很多的有可能就是了。

Answer 3

对方伪装成路由的mac和网关，用彩影的arp防火墙，那个比别的更好用，可以逆向追查真实IP。前提是对方发动了攻击或扫描

Answer 4

是不是有多台路由器连接使用？
可能某一台路由器同样也设置了LAN口IP为192.168.1.1

追问

貌似是，开通了两个网通账户（PPPoe），其中一个登陆不上，可能是设置的问题，就都设置了192.168.1.1，用的同一个登录账户名和密码（PPPoe），分开设置？？？

追答

改成这样设置，先确认主路由器，设置为192.168.1.1，另一个192.168.1.2好了，主路由器和其他路由器间通过LAN口连接

 

如果另一个路由器PPPoE无法连级，就放弃掉吧，如过可以连接的话，在这里填写主路由器的IP地址，把另一个的IP填写到备用配置里（有没有效不确定，我没这样玩过 = =）

Answer 5

ARP欺骗方式共分为两种：一种是对路由器ARP表的欺骗，该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网；另一种是对内网PC的网关欺骗，仿冒网关的mac地址，发送arp包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法：
方法一、在收到ARP欺骗的本机，在开始--运行中，输入“cmd”，进入ms-dos，通过命令行窗口输入“arp -a”命令，查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具（如sniffer或antiarp）查找局域网中发arp包最多的IP地址，也可判断出中病毒计算机。
造成arp欺骗的病毒，其实是普通的病毒，只要判断出发包源，使用杀毒软件进行清查，是可以彻底解决的。