1.電腦總是受到ARP攻擊怎么辦

ARP欺騙木馬程序（病毒）的攻擊（ARP是“Address Resolution Protocol”“地址解析協(xié)議”的縮寫），病毒發(fā)作時其癥狀表現(xiàn)為計算機網(wǎng)絡(luò)連接正常，卻打開網(wǎng)頁時斷時通；或由于ARP欺騙的木馬程序（病毒）發(fā)作時發(fā)出大量的數(shù)據(jù)包，導(dǎo)致用戶上網(wǎng)不穩(wěn)定，極大地影響了用戶的正常使用，給網(wǎng)絡(luò)的安全帶來嚴重的隱患。

病毒原理

當(dāng)局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和交換機，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過交換機上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從交換機上網(wǎng)（此時交換機MAC地址表正常），切換過程中用戶會再斷一次線。該病毒發(fā)作時，僅影響同網(wǎng)段內(nèi)機器的正常上網(wǎng)。

采取的措施

一、用戶要增強網(wǎng)絡(luò)安全意識，不要輕易下載、使用盜版和存在安全隱患的軟件；或瀏覽一些缺乏可信度的網(wǎng)站（網(wǎng)頁）；不要隨便打開不明來歷的電子郵件，尤其是郵件附件；不要隨便共享文件和文件夾，即使要共享，也得設(shè)置好權(quán)限，一般指定特定帳號或特定機器才能訪問，另外不建議設(shè)置可寫或可控制，以免個人計算機受到木馬病毒的侵入給網(wǎng)絡(luò)的安全帶來隱患。

二、計算機用戶要及時下載和更新操作系統(tǒng)的補丁程序，安裝正版的殺毒軟件，增強個人計算機防御計算機病毒的能力。

三、用戶檢查和處理“ ARP 欺騙”木馬的方法。

1、檢查本機是否中的“ ARP 欺騙”木馬染毒

同時按住鍵盤上的“ CTRL + ALT +DEL ”鍵，選擇“任務(wù)管理器”，點選“進程”標(biāo)簽。查看其中是否有一個名為“ MIR0.dat ”之類的進程。如果有，則說明已經(jīng)中毒。右鍵點擊此進程后選擇“結(jié)束進程”。

2、在受到ARP欺騙木馬程序（病毒）攻擊時，用戶可選擇下列方法的一種處理。

方法一：

下載Anti ARP Sniffer軟件保護本地計算機正常運行。同時把此軟件設(shè)為自動啟動，步驟：先把Antiarp.exe生成桌面快捷方式->；選"開始"->；"程序"->；雙擊"啟動"->；再把桌面上Antiarp.exe快捷鍵拷到"啟動"中，以保證下次開機自動運行，起到保護的作用。

方法二：

在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：ipconfig

記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對應(yīng)的值，例如“ 10.1.4.1 ”。再輸入并執(zhí)行以下命令：

arp ?Ca

在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對應(yīng)的物理地址，即“ Physical Address ”值，例如“ 00-e0-fc-0f-8f-4d”。在網(wǎng)絡(luò)正常時這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網(wǎng)卡物理地址。 也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個 IP 對應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網(wǎng)卡物理地址。 本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令：

arp ?Cs 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址 。

方法三：（只適用時出現(xiàn)故障時的臨時解決辦法）

在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：

arp -d

方法四：

局域網(wǎng)ARP攻擊免疫器，網(wǎng)上有得下。（1）將這里面3個dll文件復(fù)制到windows/system32 里面，將npf 這個文件復(fù)制到 windows/system32/drivers 里面。（2）將這4個文件在安全屬性里改成只讀。也就是不允許任何人修改。

四、以下程序帶有此類ARP病毒（傳奇殺手等），請不要使用：

傳奇2冰橙子1.44版

傳奇2及時雨P(guān)K版

"網(wǎng)吧傳奇殺手"的木馬軟件進行傳奇帳號和密碼的掃描

網(wǎng)絡(luò)執(zhí)法官等類似程序

五、趨勢科技提供的ARP病毒清除工具

2.電腦遭受ARP攻擊該怎么辦

進入安全模式殺軟全盤查殺，用360清除

最好是關(guān)閉系統(tǒng)還原，方法是“右擊我的電腦——屬性——系統(tǒng)還原——在所有驅(qū)動器上關(guān)閉系統(tǒng)還原”

拔掉網(wǎng)線

加個360arp防火墻

控制面板”—“管理工具”來打開“本地安全策略”，選擇IP安全策略，在這里，我們可以定義自己的IP安全策略。一個IP安全過濾器由兩個部分組成：過濾策略和過濾操作。要新建IP安全過濾器，必須新建自己的過濾策略和過濾操作，右擊窗口左側(cè)的“IP安全策略，在本地機器”，在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”，單擊“下一步”，然后輸入策略名稱和策略描述。單擊“下一步”，選中“激活默認響應(yīng)規(guī)則”復(fù)選項，單擊“下一步”。開始設(shè)置響應(yīng)規(guī)則身份驗證方式，選中“此字符串用來保護密鑰交換（預(yù)共享密鑰）”選項，然后隨便輸入一些字符（后面還會用到這些字符的），單擊“下一步”，就會提示已完成IP安全策略，確認選中了“編輯屬性”復(fù)選框，單擊“完成”按鈕，會打開其屬性對話框。

接下來就要進行此新建安全策略的配置。在“Goodbye Ping 屬性”對話窗口的“規(guī)則”選項頁中單擊“添加”按鈕，并在打開安全規(guī)則向?qū)е袉螕簟跋乱徊健边M行隧道終結(jié)設(shè)置，在這里選擇“此規(guī)則不指定隧道”。單擊“下一步”，并選擇“所有網(wǎng)絡(luò)連接”以保證所有的計算機都Ping不通。單擊“下一步”，設(shè)置身份驗證方式，與上面一樣選擇第三個選項“此字符串用來保護密鑰交換（預(yù)共享密鑰）”并填入與剛才上面相同的內(nèi)容。單擊“下一步”即打開“IP篩選器列表”窗口，在“IP篩選器列表”中選擇“新IP篩選器列表”，單擊右側(cè)的“編輯”，在出現(xiàn)的窗口中點擊“添加”，單擊“下一步”，設(shè)置“源地址”為“我的IP地址”，單擊“下一步”，設(shè)置“目標(biāo)地址”為“任何IP地址”，單擊“下一步”，選擇協(xié)議類型為ICMP，單擊“完成”后再點“確定”返回如圖9的窗口，單擊“下一步”，選擇篩選器操作為“要求安全”選項，然后依次點擊“下一步”、“完成”、“確定”、“關(guān)閉”按鈕保存相關(guān)的設(shè)置返回管理控制臺。

最后在“本地安全設(shè)置”中右擊配置好的“Goodbye Ping”策略，在彈出的快捷菜單中選擇“指派”命令使配置生效。

3.電腦受到ARP攻擊怎么辦

趨勢科技ARP病毒專殺工具：

防護arp攻擊軟件最終版-Antiarp安全軟件

使用方法：

1、填入網(wǎng)關(guān)IP地址，點擊〔獲取網(wǎng)關(guān)地址〕將會顯示出網(wǎng)關(guān)的MAC地址。點擊[自動防護]即可保護當(dāng)前網(wǎng)卡與該網(wǎng)關(guān)的通信不會被第三方監(jiān)聽。注意：如出現(xiàn)這種欺騙提示，這說明攻擊者發(fā)送了對于此種欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包，如果您想追蹤攻擊來源請記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP 對應(yīng)的MAC地址.

2、IP地址沖突

如頻繁的出現(xiàn)IP地址沖突，這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包，才會出現(xiàn)IP沖突的警告，利用Anti ARP Sniffer可以防止此類攻擊。

3、您需要知道沖突的MAC地址，Windows會記錄這些錯誤。查看具體方法如下：

右擊[我的電腦]--[管理]--點擊[事件查看器]--點擊[系統(tǒng)]--查看來源為[TcpIP]---雙擊事件可以看到顯示地址發(fā)生沖突，并記錄了該MAC地址，請復(fù)制該MAC地址并填入Anti ARP Sniffer的本地MAC地址輸入框中（請注意將：轉(zhuǎn)換為-），輸入完成之后點擊[防護地址沖突]，為了使M地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig /all，查看當(dāng)前MAC地址是否與本地MAC地址輸入框中的地址相符，如果更改失敗請與我聯(lián)系。如果成功將不再會顯示地址沖突。

注意：如果您想恢復(fù)默認MAC地址，請點擊[恢復(fù)默認]，為了使地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。

4.電腦遭到ARP攻擊怎么辦

現(xiàn)在局域網(wǎng)中感染ARP病毒的情況比較多，清理和防范都比較困難，給不少的網(wǎng)絡(luò)管理員造成了很多的困擾。下面就是個人在處理這個問題的一些經(jīng)驗，同時也在網(wǎng)上翻閱了不少的參考資料。

ARP病毒的癥狀

有時候無法正常上網(wǎng)，有時候有好了，包括訪問網(wǎng)上鄰居也是如此，拷貝文件無法完成，出現(xiàn)錯誤；局域網(wǎng)內(nèi)的ARP包爆增，使用ARP查詢的時候會發(fā)現(xiàn)不正常的MAC地址，或者是錯誤的MAC地址對應(yīng)，還有就是一個MAC地址對應(yīng)多個IP的情況也會有出現(xiàn)。

ARP攻擊的原理

ARP欺騙攻擊的包一般有以下兩個特點，滿足之一可視為攻擊包報警：第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配?；蛘?，ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫MAC/IP不匹配。這些統(tǒng)統(tǒng)第一時間報警，查這些數(shù)據(jù)包（以太網(wǎng)數(shù)據(jù)包）的源地址（也有可能偽造），就大致知道那臺機器在發(fā)起攻擊了?，F(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官、P2P終結(jié)者也會使用同樣的方式來偽裝成網(wǎng)關(guān)，欺騙客戶端對網(wǎng)關(guān)的訪問，也就是會獲取發(fā)到網(wǎng)關(guān)的流量，從而實現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能，同時也會對網(wǎng)絡(luò)管理帶來潛在的危害，就是可以很容易的獲取用戶的密碼等相關(guān)信息。

處理辦法

通用的處理流程

1.先保證網(wǎng)絡(luò)正常運行

方法一：編輯一個***.bat文件內(nèi)容如下：

arp.exe s

**.**.**.**（網(wǎng)關(guān)ip） ****

**

**

**

**(

網(wǎng)關(guān)MAC地址)

end

讓網(wǎng)絡(luò)用戶點擊就可以了！

辦法二：編輯一個注冊表問題，鍵值如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

"MAC"="arp s

網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址"

然后保存成Reg文件以后在每個客戶端上點擊導(dǎo)入注冊表。

2.找到感染ARP病毒的機器

a、在電腦上ping一下網(wǎng)關(guān)的IP地址，然后使用ARP -a的命令看得到的網(wǎng)關(guān)對應(yīng)的MAC地址是否與實際情況相符，如不符，可去查找與該MAC地址對應(yīng)的電腦。

b、使用抓包工具，分析所得到的ARP數(shù)據(jù)報。有些ARP病毒是會把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假ARP回應(yīng)包來混淆網(wǎng)絡(luò)通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。

c、使用MAC地址掃描工具，Nbtscan掃描全網(wǎng)段IP地址和MAC地址對應(yīng)表，有助于判斷感染ARP病毒對應(yīng)MAC地址和IP地址。

預(yù)防措施

1、及時升級客戶端的操作系統(tǒng)和應(yīng)用程式補??；

2、安裝和更新殺毒軟件。

3、如果網(wǎng)絡(luò)規(guī)模較少，盡量使用手動指定IP設(shè)置，而不是使用DHCP來分配IP地址。

4、如果交換機支持，在交換機上綁定MAC地址與IP地址。

ARP病毒要想完完全全清除還是重做系統(tǒng)，ARP病毒只能是做防

5.電腦遇到了ARP攻擊,該怎么辦

ARP病毒解決方案： 1、清空ARP緩存：大家可能都曾經(jīng)有過使用ARP的指令法解決過ARP欺騙問題，該方法是針對ARP欺騙原理進行解決的。

一般來說ARP欺騙都是通過發(fā)送虛假的MAC地址與IP地址的對應(yīng)ARP數(shù)據(jù)包來迷惑網(wǎng)絡(luò)設(shè)備，用虛假的或錯誤的MAC地址與IP地址對應(yīng)關(guān)系取代正確的對應(yīng)關(guān)系。若是一些初級的ARP欺騙，可以通過ARP的指令來清空本機的ARP緩存對應(yīng)關(guān)系，讓網(wǎng)絡(luò)設(shè)備從網(wǎng)絡(luò)中重新獲得正確的對應(yīng)關(guān)系，具體解決過程如下： 第一步：通過點擊桌面上任務(wù)欄的“開始”->“運行”，然后輸入cmd后回車，進入cmd（黑色背景）命令行模式； 第二步：在命令行模式下輸入arp-a命令來查看當(dāng)前本機儲存在本地系統(tǒng)ARP緩存中IP和MAC對應(yīng)關(guān)系的信息； 第三步：使用arp-d命令，將儲存在本機系統(tǒng)中的ARP緩存信息清空，這樣錯誤的ARP緩存信息就被刪除了，本機將重新從網(wǎng)絡(luò)中獲得正確的ARP信息，達到局域網(wǎng)機器間互訪和正常上網(wǎng)的目的。

如果是遇到使用ARP欺騙工具來進行攻擊的情況，使用上述的方法完全可以解決。但如果是感染ARP欺騙病毒，病毒每隔一段時間自動發(fā)送ARP欺騙數(shù)據(jù)包，這時使用清空ARP緩存的方法將無能為力了。

下面將接收另外一種，可以解決感染ARP欺騙病毒的方法。 2、指定ARP對應(yīng)關(guān)系：其實該方法就是強制指定ARP對應(yīng)關(guān)系。

由于絕大部分ARP欺騙病毒都是針對網(wǎng)關(guān)MAC地址進行攻擊的，使本機上ARP緩存中存儲的網(wǎng)關(guān)設(shè)備的信息出現(xiàn)紊亂，這樣當(dāng)機器要上網(wǎng)發(fā)送數(shù)據(jù)包給網(wǎng)關(guān)時就會因為地址錯誤而失敗，造成計算機無法上網(wǎng)。 第一步：我們假設(shè)網(wǎng)關(guān)地址的MAC信息為00-14-78-a7-77-5c，對應(yīng)的IP地址為192.168.2.1。

指定ARP對應(yīng)關(guān)系就是指這些地址。在感染了病毒的機器上，點擊桌面->任務(wù)欄的“開始”->“運行”，輸入cmd后回車，進入cmd命令行模式； 第二步：使用arp-s命令來添加一條ARP地址對應(yīng)關(guān)系，例如arp-s192.168.2.100-14-78-a7-77-5c命令。

這樣就將網(wǎng)關(guān)地址的IP與正確的MAC地址綁定好了，本機網(wǎng)絡(luò)連接將恢復(fù)正常了； 第三步：因為每次重新啟動計算機的時候，ARP緩存信息都會被全部清除。所以我們應(yīng)該把這個ARP靜態(tài)地址添加指令寫到一個批處理文件（例如：bat）中，然后將這個文件放到系統(tǒng)的啟動項中。

當(dāng)程序隨系統(tǒng)的啟動而加載的話，就可以免除因為ARP靜態(tài)映射信息丟失的困擾了。 3、添加路由信息應(yīng)對ARP欺騙： 一般的ARP欺騙都是針對網(wǎng)關(guān)的，那么我們是否可以通過給本機添加路由來解決此問題呢。

只要添加了路由，那么上網(wǎng)時都通過此路由出去即可，自然也不會被ARP欺騙數(shù)據(jù)包干擾了。第一步：先通過點擊桌面上任務(wù)欄的“開始”->“運行”，然后輸入cmd后回車，進入cmd（黑色背景）命令行模式； 第二步：手動添加路由，詳細的命令如下：刪除默認的路由：routedelete0.0.0.0；添加路由： routeadd-p0.0.0.0mask0.0.0.0192.168.1.254metric1；確認修改： routechange此方法對網(wǎng)關(guān)固定的情況比較適合，如果將來更改了網(wǎng)關(guān)，那么就需要更改所有的客戶端的路由配置了。

4、安裝殺毒軟件： 安裝殺毒軟件并及時升級，另外建議有條件的企業(yè)可以使用網(wǎng)絡(luò)版的防病毒軟件。 一般對于單個的電腦，安裝一個“360ARP防火墻”就能檢測出所有的ARP攻擊，它會提示出受到的攻擊。

但是，360防火墻雖說是可以阻攔多次攻擊，但是受到ARP攻擊后網(wǎng)絡(luò)還是會非常緩慢，甚至有時候還會掉線。 你如果要真正地防止ARP攻擊，首先推薦給你“清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組”編制的一個小程序，下載地址是： ftp://166.111.8.243/tools/ArpFix.rar 這是“清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組”編的一個小程序，它可以保護您的計算機在同一個局域網(wǎng)內(nèi)部有ARP欺騙木馬計算機的攻擊時，保持正常的上網(wǎng)。

具體的使用方法： 1、程序運行后請先選擇網(wǎng)卡，選定網(wǎng)卡后點擊“選定”按鈕。 2、選定網(wǎng)卡后程序會自動獲取您機器的網(wǎng)關(guān)地址。

3、獲得網(wǎng)關(guān)地址后請點擊獲取MAC地址按鈕獲取正確的網(wǎng)關(guān)MAC地址。 4、確認網(wǎng)關(guān)的MAC地址后請點擊連接保護，程序開始保護您的機器。

5、點擊程序右上角的叉，程序自動隱藏到系統(tǒng)托盤內(nèi)。 6、要完全退出程序請在系統(tǒng)托盤中該程序圖標(biāo)上點擊右鍵選擇EXIT。

（但是要注意：這個程序只是一個ARP攻擊保護程序，即受ARP木馬攻擊時保持自己計算機的MAC地址不被惡意篡改，從而在遭受攻擊時網(wǎng)絡(luò)不會中斷。本程序并不能清除已經(jīng)感染的ARP木馬，要預(yù)防感染或殺除木馬請您必須要安裝正版的殺毒軟件?。?再告訴你如何檢查和處理“ARP欺騙”木馬的方法： 1、檢查本機的“ARP欺騙”木馬染毒進程： 同時按住鍵盤上的CTRL ALT DEL鍵，打開“任務(wù)管理器”，點選“進程”標(biāo)簽。

察看其中是否有一個名為“MIR0.dat”的進程。如果有，則說明你的機器已經(jīng)中毒。

右鍵點擊此進程后選擇“結(jié)束進程”。 如果檢測出你的機器本身存在了ARP木馬病毒，那么使用下面的專殺工具或者使用最新版的瑞星江民卡巴進行全盤查殺都可以殺掉ARP木馬。

（趨勢科技ARP病毒專殺工具： /soft/diannao/fangdushadu/。

6.電腦總是受到ARP攻擊怎么辦

ARP欺騙木馬程序（病毒）的攻擊（ARP是“Address Resolution Protocol”“地址解析協(xié)議”的縮寫），病毒發(fā)作時其癥狀表現(xiàn)為計算機網(wǎng)絡(luò)連接正常，卻打開網(wǎng)頁時斷時通；或由于ARP欺騙的木馬程序（病毒）發(fā)作時發(fā)出大量的數(shù)據(jù)包，導(dǎo)致用戶上網(wǎng)不穩(wěn)定，極大地影響了用戶的正常使用，給網(wǎng)絡(luò)的安全帶來嚴重的隱患。

病毒原理

當(dāng)局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和交換機，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過交換機上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從交換機上網(wǎng)（此時交換機MAC地址表正常），切換過程中用戶會再斷一次線。該病毒發(fā)作時，僅影響同網(wǎng)段內(nèi)機器的正常上網(wǎng)。

采取的措施

一、用戶要增強網(wǎng)絡(luò)安全意識，不要輕易下載、使用盜版和存在安全隱患的軟件；或瀏覽一些缺乏可信度的網(wǎng)站（網(wǎng)頁）；不要隨便打開不明來歷的電子郵件，尤其是郵件附件；不要隨便共享文件和文件夾，即使要共享，也得設(shè)置好權(quán)限，一般指定特定帳號或特定機器才能訪問，另外不建議設(shè)置可寫或可控制，以免個人計算機受到木馬病毒的侵入給網(wǎng)絡(luò)的安全帶來隱患。

二、計算機用戶要及時下載和更新操作系統(tǒng)的補丁程序，安裝正版的殺毒軟件，增強個人計算機防御計算機病毒的能力。

三、用戶檢查和處理“ ARP 欺騙”木馬的方法。

1、檢查本機是否中的“ ARP 欺騙”木馬染毒

同時按住鍵盤上的“ CTRL + ALT +DEL ”鍵，選擇“任務(wù)管理器”，點選“進程”標(biāo)簽。查看其中是否有一個名為“ MIR0.dat ”之類的進程。如果有，則說明已經(jīng)中毒。右鍵點擊此進程后選擇“結(jié)束進程”。

2、在受到ARP欺騙木馬程序（病毒）攻擊時，用戶可選擇下列方法的一種處理。

方法一：

下載Anti ARP Sniffer軟件保護本地計算機正常運行。同時把此軟件設(shè)為自動啟動，步驟：先把Antiarp.exe生成桌面快捷方式->；選"開始"->；"程序"->；雙擊"啟動"->；再把桌面上Antiarp.exe快捷鍵拷到"啟動"中，以保證下次開機自動運行，起到保護的作用。

方法二：

在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：ipconfig

記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對應(yīng)的值，例如“ 10.1.4.1 ”。再輸入并執(zhí)行以下命令：

arp ?Ca

在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對應(yīng)的物理地址，即“ Physical Address ”值，例如“ 00-e0-fc-0f-8f-4d”。在網(wǎng)絡(luò)正常時這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網(wǎng)卡物理地址。 也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個 IP 對應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網(wǎng)卡物理地址。 本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令：

arp ?Cs 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址 。

方法三：（只適用時出現(xiàn)故障時的臨時解決辦法）

在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：

arp -d

方法四：

局域網(wǎng)ARP攻擊免疫器，網(wǎng)上有得下。（1）將這里面3個dll文件復(fù)制到windows/system32 里面，將npf 這個文件復(fù)制到 windows/system32/drivers 里面。（2）將這4個文件在安全屬性里改成只讀。也就是不允許任何人修改。

四、以下程序帶有此類ARP病毒（傳奇殺手等），請不要使用：

傳奇2冰橙子1.44版

傳奇2及時雨P(guān)K版

"網(wǎng)吧傳奇殺手"的木馬軟件進行傳奇帳號和密碼的掃描

網(wǎng)絡(luò)執(zhí)法官等類似程序

五、趨勢科技提供的ARP病毒清除工具

7.電腦受ARP攻擊怎么辦

ARP攻擊在在局域網(wǎng)中進行的，主要原因是局域網(wǎng)有人中了ARP病毒。你只要找出那臺機子，全面殺毒就可以徹底消除隱患。

ARP攻擊不是人為的，而是病毒控制的。 一般情況下。。 一般的防火墻都可以防御ARP的攻擊，金山網(wǎng)鏢，360都行 通過防火墻的攔截可以看到對方的IP地址，然后開始，運行，輸入ney send ip "message" 即可對對方發(fā)送信息 ney send 對方IP地址 "你要發(fā)送的信息" 不好意思啊，是net send 對方IP地址 "你要發(fā)送的信息"