arp病毒电脑怎么查找

ARP欺骗方式共分为两种：一种是对路由器ARP表的欺骗，该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网；另一种是对内网PC的网关欺骗，仿冒网关的mac地址，发送arp包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。

针对这种情况瑞星公司提供以下解决办法：

方法一、在收到ARP欺骗的本机，在开始--运行中，输入“cmd”，进入ms-dos，通过命令行窗口输入“arp -a”命令，查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。

方法二、借助第三方抓包工具（如sniffer或antiarp）查找局域网中发arp包最多的IP地址，也可判断出中病毒计算机。

造成arp欺骗的病毒，其实是普通的病毒，只要判断出发包源，使用杀毒软件进行清查，是可以彻底解决的。

ARP攻击方式ARP攻击，是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等。[5]主要有以**数据为主要目的的ARP欺骗攻击，还有以捣乱破坏为目的的ARP泛洪攻击两种。争对这两种主要攻击方式，本文作者又细分为以下几种ARP攻击类型：

1 IP地址冲突制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求，受害主机会自动向用户d出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。对于windows *** 作系统，只要接收到一个ARP数据包，不管该ARP数据包符不符合要求，只要该ARP数据包所记录的源ip地址同本地主机相同但MAC地址不同，windows系统就会d出ip地址冲突的警告对话框。根据ip地址冲突的攻击特征描述，这种类型的ARP攻击主要有以下几种：

（1）单播型的IP地址冲突：链路层所记录的目的物理地址为被攻击主机的物理地址，这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。

（2）广播型的IP地址冲突：链路层所记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接受到该ARP数据包，虽然该ARP数据包所记录的目的ip地址不是受攻击主机的ip地址，但是由于该ARP数据包为广播数据包，这样受攻击主机也会接收到从而d出ip地址冲突的警告对话框。

2 ARP泛洪攻击 攻击主机持续把伪造的MAC-IP映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含（1）通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。（2）令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。（3）用虚假的地址信息占满主机的ARP高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以**用户数据为目的，它是以破坏网络为目的，属于损人不利己的行为。

ARP溢出攻击

ARP溢出攻击的特征主要有：（1）所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址但MAC地址是固定的，由于当 *** 作系统接收到一个源ip地址在ARP高速缓存表中不存在的ARP数据包时，就会在缓存表中创建一个对应MAC-IP的入口项。

（2）所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表，将各端口和端口所连接主机的MAC地址的对应关系进行记录，因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包，就会破坏端口与MAC的对应关系，并导致CAM表溢出。在这种情形之下，缺少防范措施的交换机就会以广播的模式处理报文，形成泛洪向所有接口转发通信信息流。[6]最终使得交换机变成HUB，将交换式的网络变成广播式的网络，使得网络带宽急剧下降。

自己能正常上网就是没中招，想要不被打搅就把 瑞星 ARP 设置里的提示项关了。瑞星防火墙-设置-详细设置-ARP欺骗防御-启用欺骗防御(打上对号）， 如何提示用户（把对号去掉，只勾选“纪录日志项”），这样就不会被提示骚扰了（仍然被攻击，但取消提示了）。 至于要彻底解决ARP攻击，必须找到局域网里的染毒机器，进行杀毒。

在局域网环境中上网的朋友会经常碰到无故断线的情况，并且检查电脑也检查不出什么原因。其实出现这种情况，大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。感染病毒，电脑一一杀毒，电脑过多的情况下显然很费时费力。现在就告诉你这三招两式，快速找出局域网中的“毒瘤”。

小提示： ARP：Address Resolution Protocol的缩写，即地址解析协议。ARP负责将电脑的IP地址转换为对应的物理地址，即网卡的MAC地址。当发生ARP欺骗时，相关主机会收到错误的数据，从而造成断网的情况发生。

一、查看防火墙日志

局域网中有电脑感染ARP类型病毒后，一般从防火墙的日志中可以初步判断出感染病毒的主机。

感染病毒的机器的典型特征便是会不断的发出大量数据包，如果在日志中能看到来自同一IP的大量数据包，多半情况下是这台机器感染病毒了。

这里以Nokia IP40防火墙为例，进入防火墙管理界面后，查看日志项，在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截，并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址，设置过滤策略时对WEB服务器特意加强保护，所以可以看到这些项目全部是红色标示出来的（图1）。

图1

到WEB服务器的数据包被拦截了，那些没有拦截的数据包呢？自然是到达了目的地，而“目的”主机自然会不间断的掉线了。

由于内网采用的DHCP服务器的方法，所以只知道IP地址还没有用，必须知道对应的MAC地址，才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址，同样可以使用NBBSCAN来得到IP地址（图2）。

图2

由此可见，防火墙日志，有些时候还是可以帮上点忙的。

小提示：如果没有专业的防火墙，那么直接在一台客户机上安装天网防火墙之类的软件产品，同样能够看到类似的提醒。

二、利用现有工具

如果觉得上面的方法有点麻烦，且效率低下的话，那么使用专业的ARP检测工具是最容易不过的事了。这里就请出简单易用，但功能一点也不含糊的ARP 防火墙。

ARP防火墙可以快速的找出局域网中ARP攻击源，并且保护本机与网关之间的通信，保护本机的网络连接，避免因ARP攻击而造成掉线的情况发生。

软件运行后会自动检测网关IP及MAC地址并自动保护电脑。如果软件自动获取的地址有错误，可单击“停止保护”按钮，填入正确的IP地址后，单击“枚取MAC”按钮，成功获取MAC地址后，单击“自动保护”按钮开始保护电脑。

当本机接收到ARP欺骗数据包时，软件便会d出气泡提示，并且指出机器的MAC地址（图3）。

图3

单击“停止保护”按钮，选中“欺骗数据详细记录”中的条目，再单击“追捕攻击者”按钮，在d出的对话框中单击确定按钮。

软件便开始追捕攻击源，稍等之后，软件会提示追捕到的攻击者的IP地址（图4）。

图4

其实大多数时候，不用手工追捕，软件会自动捕获到攻击源的MAC地址及IP地址。

还等什么？找到那颗“毒瘤”，将其断网，杀毒。局域网总算清静了！

三、有效防守

俗话说，进攻才是最好的防守。虽然通过上面的方法可以找到病毒源，并最终解决问题，不过长期有人打电话抱怨“又断线了……”。总是这样擦屁股，似乎不是长久之际，因此有效保护每一台机器不被ARP欺骗攻击才是上策。

比较有效的方法之一便是在每一台机器上安装ARP防火墙，设置开机自启动，并且在“拦截本机发送的攻击包”项打勾（图5），这样不仅可以保护不受攻击，还可以防止本机已感染病毒的情况下，发送欺骗数据攻击别的机器的情况发生。

三、有效防守

俗话说，进攻才是最好的防守。虽然通过上面的方法可以找到病毒源，并最终解决问题，不过长期有人打电话抱怨“又断线了……”。总是这样擦屁股，似乎不是长久之际，因此有效保护每一台机器不被ARP欺骗攻击才是上策。

比较有效的方法之一便是在每一台机器上安装ARP防火墙，设置开机自启动，并且在“拦截本机发送的攻击包”项打勾（图5），这样不仅可以保护不受攻击，还可以防止本机已感染病毒的情况下，发送欺骗数据攻击别的机器的情况发生。

图6

使用这种方法绑定的弱点便是，机器重新启动之后，绑定便会失效，需要重新绑定。因此可将上面的命令行做成一个批处理文件，并将快捷方式拖放到开始菜单的“启动”项目中，这样就可以实现每次开机自动绑定了。

所谓“道高一尺，魔高一丈”，技术总是在不断更新，病毒也在不断的发展。使用可防御ARP攻击的三层交换机，绑定端口MAC-IP，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击，才是最佳的防范策略。对于经常爆发病毒的网络，可以进行Internet访问控制，限制用户对网络的访问。因为大部分ARP攻击程序网络下载到客户端，如果能够加强用户上网的访问控制，就能很好的阻止这类问题的发生。

如何检测出发现局域网中进行ARP地址欺骗的主机，有两个思路，一个是利用Winarpattack的检测功能，看哪些主机正在进行ARP扫描，这些主机很可能就在进行ARP地址欺骗，另一个检测局域网哪些主机的网卡处于混杂模式，因为进行ARP地址欺骗的主机它的网卡必定是设置在混杂模式，所以哪台主机的网卡是处于混杂模式了，它就很可能在进行ARP地址欺骗。

（一）利用Winarpattack进行

这款软件可以检测的项目非常多，也可以凡是它能够进行的攻击通过它自身的检测功能都可以自己都可以检测到，我在两台虚拟机上验证了这一点，常用的功能如下：

源MAC地址失配和目标MAC地址失配

ARP扫描――检测哪些主机正在通过ARP请求扫描这个局域网，以便得到一个主机列表

Arp_Antisniff_扫描――检测局域网中哪引起主机正在处于sniffer状态，从而就可知道谁正在进行sniffer

主机主线――检测在线的主机

主机更改IP――主机更改了它的IP 址或者增加了一个新地址。

主机更改MAC――主机更改了它的MAC地址

新的主机――新的主机被找到了

主机增加IP――主机增加了一个新的IP地址

多IP主机――主机拥有了不至一个IP地址

多MAC主机――主机拥有了不至一个MAC 地址

攻击洪水――列出哪些主机发送了很多的ARP包至别的主机

攻击欺骗――主机发送了特定的ARP包到sniff数据两个目标，所以被欺骗者的数据暴露出来了。

局域网内的攻击欺骗――主机让局域网内的所有主机相信它就是网关，所以这个行窃者可以sniff所有主机发送向网关的数据。

本地ARP列表改变――现在WinArpAttacker可以监视本地ARP列表，当本地的ARP表中的一台主机的MAC地址改变的时候，WinArpAttacker可以报告这一现象。

通过Winarpattack我们可以大致的了解到局域内的有哪些主机正在进行ARP地址欺骗，但是这并不是这款软件长处，我们也可以利用更加专来的软件来进行检测，那就是Antisniff。

（二）利用Antisniff软件进行检测

这是一款很经典的软件，但是由于出现的比较早，后期又没有更新，因此它的最佳运行平台是WINNT，在95/98下也能运行，但是据我的实验测试情况，这款软件在98下面运行非常不稳定，而在XP下面会提示找不到网卡而无法使用，因此最佳平台就是NT，这年头找个NT的安装盘还真不好找，我也是费了好大的劲才把NT的虚拟机建起来，但是检测的效果却是出错的好，只需三步就可以得到结果：

1、定义要进行扫描的主机或网段

依次点选“Network Configuration”—“Host(s) to Scan”，再选择是要扫描“host”（单机）还是“range”（网段范围） ，这样就可以定义出局域内需要扫描的主机。

2、进行扫描

为了加快扫描的时间，我们可以限定要进行扫描的项，因为是要检测ARP地址欺骗，那么在“Scanner Configuration”的“Detection Tests”只选Arp Test即可，然后点击那个倒三角符号即可开始扫描。

3、查看结果

如果扫描到局域网中有某台主机的网卡是处于混杂模式，那么AntiSniff马上会报警，先d出一个骷髅头的图案，然后再报告具体是哪个IP地址的主机的网卡是处于混杂模式了，随后我们还可以到“Report”项中查看具体的结果，点击“Report On Machine”，再选中具体的某个IP的主机，在ARP Test Res一栏中，如果出现了“1”则代理了此时网卡处于混杂模式，如果出现了“0”则代表目前网机处于正常模式。为什么一台主机网卡有时会处于混杂模式，有时又会处于正常模式呢（如图4所示），关键就在于这台主机当时有没有开启进行ARP地址欺骗的软件，由此可以看出Antisniff的检测结果还是挺准的。

三、ARP地址欺骗的防护

Winarpattack本身就带有防护功能，但我们其实有更好的选择，我测试了一下，如果安装了360安全卫士的ARP防火墙或是彩影ARP防火墙个人版等软件后，利用Winarpattack的发起的攻击就不会成功了，所以说ARP地址欺骗虽然很讨厌，但是只要做好自身的防护的工作，还是可以“免疫”的。

本文对以上软件介绍的目的就是让大家在进行局域网ARP地址欺骗防护的过程中多了解一些进攻的内容，知己知彼，方能百战不殆啊。

您好，海康威视录像机不停发ARP请求可能是因为网络问题导致的。ARP是地址解析协议，用于将IP地址转换为MAC地址，以便在局域网中进行通信。当网络中的设备需要与其他设备通信时，它们会发送ARP请求，以获取目标设备的MAC地址。如果海康威视录像机不停发ARP请求，可能是因为它无法获取目标设备的MAC地址，或者网络中存在大量的ARP欺骗攻击。

解决这个问题的方法包括以下几个方面：

1 检查网络连接是否正常。检查录像机是否正确连接到网络，并确保网络连接稳定。

2 检查网络配置是否正确。检查录像机的IP地址、子网掩码、网关等配置是否正确。

3 检查网络设备是否正常。检查路由器、交换机等网络设备是否正常工作，并尝试重新启动它们。

4 防止ARP欺骗攻击。在网络中添加ARP欺骗攻击防御措施，如使用静态ARP表、ARP检测等方式。

通过以上方法，可以解决海康威视录像机不停发ARP请求的问题，并保证网络安全和稳定。

以上就是关于arp病毒电脑怎么查找全部的内容，包括:arp病毒电脑怎么查找、关于ARP的攻击问题、如何解决ARP 欺骗等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！