瑞星卡卡安全论坛

ARP欺骗已流畅N久，遇到N次，说过N遍，可目前还是企业网络安全与信息安全的最大威胁来源。今日开贴做下总结，并附上一些工具。希望对各位同行有所帮助。

先讲几个误区：

• 不要谈ARP色变，ARP是个协议，没有它，局域网内计算机之间是无法进行通讯的。
• ARP欺骗是一个网络攻击现象，很多时候与病毒无关，到底是什么导致的，需要先找到发包源才可定论。

防御：
看起来防御方法好像有很多，可总归说来，其实只有一个。但可喜的是，这个方法是有效的，并且是一劳永逸的。
不管是用瑞星防火墙、360反ARP还是ARP防火墙，对于ARP欺骗的防御其实不外乎一个绑定而已，只不过不同的产品可能附带一些分析与查找发包源的功能。可话说回来，如果做好了防御，ARP欺骗也不会对网络造成很大影响，所以ARP欺骗重在防御，方法：网关设备与终端计算机进行IP-MAC的双向绑定。
内网计算机访问外网不仅要发包，还得回包，所以在网关设备上对客户端的静态IP地址和MAC地址进行绑定十分重要，具体方法见贵单位网关设备说明书。
终端做绑定格式如下：
----------------------------------------------------
ARP -D
ARP -S 网关IP 网关MAC
EXIT
----------------------------------------------------
保存为BAT文件放到启动项中即可。

问题排除：
一样的，N多工具N多方法，归根结底只有一条：通过抓包软件对数据进行分析，复杂但准确彻底，使用工具简单但准确性无法保证。
具体方法不爽了baidu和google比我懂的多，只推荐一些工具：EtherPeek、SnifferPro、AntiARP等等等等甚至Windows自带的防火墙（详见http://bbs.ikaka.com/showtopic-8430850.aspx）

总结：
明白了ARP欺骗的原理和现象，明确了处理思路，方法就多了去了。不管捣乱者们再怎么变招，那也无需惧怕，反正方法就是要么我不听你骗我、要么你骗不了我、要么我干脆抓到骗子狂殴一顿.....
但还是有需要注意的就是：

• 作为网络管理员，一定要有一份内网终端机使用者的IP-MAC-姓名-方位的登记表，避免找到发包源MAC就是找不到计算机在哪。
• 作为管理员，定期检测内网终端机的网卡状态，如果发现有混杂模式，加强注意，第一时间抵御内网攻击，ARP欺骗+SNIFFER嗅探偷东西很无敌的。

有什么新的希望大家能补充，有处理不了的ARP欺骗实例也可贴来讨论，互相帮忙嘛:default15:

附上几个小工具：

6月17日9楼更新可自动绑定网关IP-MAC的工具，可加入启动项代替bat
用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; InfoPath.2)

附件: MacDraw221.rar

附件: 粉网MAC地址扫描器.zip

附件: 检测内网网卡混杂模式.rar

附件: antip2p.zip

附件: AntiARP-DNS3X.rar

附件: ARP巡警V2.6 绿色版.rar

附件: ARP终结者V1.4 免费中文版.rar

:kaka4: :kaka4: :kaka4:
完全没人关注

强烈支持楼上!

好贴！！！

非常感谢LZ

那么楼主请教一下，我的电脑在局域网内，但我不是管理员，我明知道内网有ARP攻击，但无能为力，网络时快时慢，有时候一连几天不能上(ARP攻击，欺骗网关了？），我现在具体应该怎么办呀？

先在上网异常的计算机通过命令：arp -a 查看本地arp缓存表，对比网关设备的IP-MAC是否正确，前提是你必须了解真实的网关MAC，所以还是得联系你们的网络管理员。
如果确定是ARP欺骗，只能是通过我上传的一些软件或者抓包软件来进行监测，找到发包源，断网即可。

顶一下。。太好了。。。

更新工具

附件: ArpTool.rar

好贴啊。支持

哇哈哈，亲切呀

紧急求助ARP包冲突和ARP欺骗
ARP包冲突和ARP欺骗问题非常严重

已经有比较长的时间了非常郁闷

每天从早到晚从开机到关机不停的攻击我的电脑

瑞星防火墙每天不停的红色转动报警

我已经真的受不了了

请求您帮助我解决这两个问题

1 ARP包冲突

  检测到：ARP包内容有地址冲突
瑞星建议，如您无法判别此信息，请咨询网络管理员
选择信任地址
  ⊙ IP；192.168.1.41  MAC；00-0A-78-98-B9
    ○ IP；192.168.1.41  MAC；00-0F-3D-83-A9-E1
加入静态规则

我的问题的1：若这两个IP 我都不信任 都不选择 怎么办？
                  2；咨询网络管理员这句话是怎么理解？
                3；加入静态规则这句话怎么理解？我已经加了无数个了，后面怎么办？

2 ARP欺骗

这个问题怎么解决
请您给出具体详细步骤，谢谢！

强烈支持楼主

同时提问：采用服务器双网卡sygate代理上网，内网中安装了若干无线路由器，给领导笔记本用的，地址动态分配。服务器内网网卡网络连接时常会出现时通时断（排除物理因素），所以内网机器都不能访问外网，只要重启服务器就恢复正常。怀疑是arp搞鬼，装了360和金山的arp防火墙都没用，用什么手段防御比较合理？

时通时断，最好做个抓包分析

先弄清楚192.168.1.41的真实MAC是什么，然后另一个假MAC是哪台计算机的。如果没做过IP-mac记录的话，也可以用抓包软件全网抓包，看哪台计算机不断发送ARP协议的数据包，只要找到发包源，就好处理了。

服务器是网关么？最好查看下无法上网的计算机的ARP缓存，看网关对应的MAC是否正确。
你说的这个现象不一定是ARP欺骗

服务器是网关，如果不是arp问题又是什么呢？

可能性多了去了，代理异常、带宽占用过大、网卡异常、中毒，具体问题具体分析，你不做抓包检测只通过现象描述怎么可能准确判断出来

好贴

问题已经找到，是网络流量过大，造成网卡异常。看来用代理服务器共享上网还是只能带少量机器，机器多了就不行了。只能买台企业级的路由器了。

请问下如果找到可疑发包机器的话，用什么软件对其进行杀毒呢？我看瑞星和360都没用啊:default8:

你好,我电脑每天到晚上7点就开始出现IP冲突，不能上网，ARP防火墙显示：当前网关MAC是00-1A-A9-0C-41-CF，而本机的MAC是00-E0-A0-18-20-F4，ARP入侵攻击，攻击源IP10.1.56.53  攻击源MAC 00-1D-60-B8-95-AA ， IP冲突攻 攻击源IP10.1.56.53  00-1D-60-B8-95-AA       请问怎么办啊？    我电脑的IP是10.1.56.53

在一个vlan的几台机器被ARP欺骗骚扰，此vlan与其他vlan通过vlan的网关相通，要解决预防vlan里机器被ARP欺骗的问题，怎么办？

解决arp最直接的方法就是ip地址、网关、mac地址三者绑定。

我们无线路由是动态分IP的，是不是把路由的DHCP功能关了就行。如果把每台电脑的IP和MAC地址都在无线路由里设置成绑定了，那是不是用动态分布IP的方法就不好了？

该用户帖子内容已被屏蔽

:kaka1: 顶起来不要沉。

只要知道路由真的mac地址和防火墙绑定就成了。

1、网管找到冲突网关的MAC地址，然后登陆交换机查到该MAC地址位于交换机哪个端口，封端口将其断网。

2、最重要的还是瑞星网络版要能干掉该病毒，还要保护自身不被病毒干掉。如果防不住，那局域网就惨了。

3、绑定可以做，也可以不做，根据自己单位的情况来。比如每年都要调换上百台计算机，那就别绑定了，最多要求每台计算机做那个BAT放到启动项就得，如果在主交换机或者路由器上绑定IP-MAC，绑完了你还得解除，就累死了。

该用户帖子内容已被屏蔽