对抗arp欺骗有效手段(对抗arp欺骗的有效手段)

杜绝IP 地址盗用现象。如果是通过代理服务器上网：到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行*。如： ARP-s 192.16.10.400-EO-4C-6C-08-75。这样，就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了，即使别人盗用您的IP 地址，也无法通过代理服务器上网。如果是通过交换机连接，可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。 2、修改MAC地址，欺骗ARP欺骗技术就是假冒MAC 地址，所以最稳妥的一个办法就是修改机器的MAC 地址，只要把MAC 地址改为别的，就可以欺骗过ARP 欺骗，从而达到突破封锁的目的。3、使用ARP服务器使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台ARP 服务器不被攻击。4、交换机端口设置(1)端口保护(类似于端口隔离)：ARP 欺骗技术需要交换机的两个端口直接通讯，端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯，需要通过转发才能相互通讯。(2)数据过滤：如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤，根据预设条件，对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL，每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤，扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤，异词检查伪装MAC 地址的帧。5、禁止网络接口做ARP 解析在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击)，可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如： ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如：Unix ， NT 等，都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统，其静态ARP 表项不会被动态刷新，所以不需要“禁止相应网络接口做ARP 解析”，即可对抗ARP 欺骗攻击。6、使用硬件屏蔽主机设置好你的路由，确保IP 地址能到达合法的路径。( 静态配置路由ARP 条目)，注意，使用交换集线器和网桥无法阻止ARP 欺骗。7、定期检查ARP缓存管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下，ARP 的欺骗有可能导致陷阱包丢失。技巧一则址的方法个人认为是不实用的，首先, 这样做会加大网络管理员的工作量，试想，如果校园网内有3000个用户，网络管理员就必须做3000 次端口绑定MAC 地址的操作，甚至更多。其次, 网络管理员应该比较清楚的是, 由于网络构建成本的原因，接入层交换机的性能是相对较弱的, 功能也相对单一一些, 对于让接入层交换机做地址绑定的工作，对于交换机性能的影响相当大, 从而影响网络数据的传输。建议用户采用绑定网关地址的方法解决并且防止ARP 欺骗。1) 首先, 获得安全网关的内网的MAC 地址。( 以windowsXP 为例)点击"开始"→"运行", 在打开中输入cmd。点击确定后将出现相关网络状态及连接信息, 然后在其中输入ipconfig/all，然后继续输入arp - a 可以查看网关的MAC 地址。2) 编写一个批处理文件rarp.bat( 文件名可以任意) 内容如下:@echo offarp - darp - s 192.168.200.1 00- aa- 00- 62- c6- 09将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。3) 编写完以后, 点击"文件" →"另存为"。注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中, ( 一般在系统中的文件夹路径为C:Documents and SettingsAll Users「开始」菜单 程序 启动) 。5) 最后重新启动一下电脑就可以。 静态ARP 表能忽略执行欺骗行为的ARP 应答, 我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法: 比如通过专门的防ARP 的软件, 或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案, 但是软件的设置过程并不比设置静态ARP 表简单。后者对接入层交换机要求太高, 如果交换机的性能指标不是太高, 会造成比较严重的网络延迟, 接入层交换机的性能达到了要求, 又会使网络安装的成本提高。
卡巴斯基全功能版2010，查杀病毒能力最强，全功能版网络防御能力也是一流，安上它就放心上网遨游了，就是占内存大些，建议配置高些的安装，非常安全

1.同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程” 2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：ipconfig记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。再输入并执行以下命令：arp –a在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。3 ．设置 ARP 表避免“ ARP 欺骗”木马影响的方法本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：arp –s 网关 IP 网关物理地址4.态ARP绑定网关步骤一：在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址， 并将其记录下来。注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。步骤二：如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。要想手工绑定，可在MS-DOS窗口下运行以下命令：arp －s 网关IP 网关MAC例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下：Cocuments and Settings>arp -aInterface:192.168.1.5 --- 0x2Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 dynamic其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。手工绑定的命令为：arp －s 192.168.1.1 00-01-02-03-04-05绑定完，可再用arp －a查看arp缓存：Cocuments and Settings>arp -aInterface: 192.168.1.5 --- 0x2Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 static这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。5 .作批处理文件在客户端做对网关的arp绑定，具体操作步骤如下：步骤一：查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp －a，点回车，查看网关对应的Physical Address。比如：网关192.168.1.1 对应00－01－02－03－04－05。步骤二：编写一个批处理文件rarp.bat，内容如下：@echo offarp －darp -s 192.168.1.1 00－01－02－03－04－05保存为：rarp.bat。步骤三：运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。注意：以上配置需要在网络正常时进行6.使用安全工具软件及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。如果已有病毒计算机的MAC地址，可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP，即感染病毒的计算机的IP地址，然后报告单位的网络中心对其进行查封。或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。7.应急方案 网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后，立即关闭中病毒的端口，通过端口查出相应的用户并通知其彻底查杀病毒。而后，做好单机防范，在其彻底查杀病毒后再开放相应的交换机端口，重新开通上网。
ARP病毒 外挂携带的ARP木马攻击,当局域网内使用外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。方法是在能上网时，进入MS-DOS窗口，输入命令：arp –a查看网关IP对应的正确MAC地址，将其记录，如果已不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，禁用网卡或拔掉网线，再运行arp –a。如已有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC。如被攻击，用该命令查看，会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录，以备查找。找出病毒计算机：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址。〇故障原因主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。〇故障现象当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。〇解决思路不要把你的网络安全信任关系建立在IP基础上或MAC基础上。设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。除非必要，否则停止ARP使用，把ARP做为永久条目保存在对应表中。使用ARP服务器。确保这台ARP服务器不被黑。使用"proxy"代理IP传输。使用硬件屏蔽主机。定期用响应的IP包中获得一个rarp请求，检查ARP响应的真实性。定期轮询，检查主机上的ARP缓存。使用防火墙连续监控网络。〇解决方案建议采用双向绑定解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>）。编写一个批处理文件rarp.bat内容如下：@echo offarp -darp -s 192.168.16.254 00-22-aa-00-22-aa (输入你自己的IP和网关地址)将网关IP和MAC更改为您自己的网关IP和MAC即可，让这个文件开机运行(拖到“开始-程序-启动”)。ARP攻击时的主要现象：1、网上银行、游戏及QQ账号的频繁丢失一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通 过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用 户账号的详细信息并盗取。2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包， 阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常 当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉 线情况还会发生。
不需要软件，只需要把你的IP和网卡的MAC地址设置的方法如下 @echo offarp -darp -s 网关IP地址 网关MAC号网关IP填你自己的网关，网关MAC号，填你的网关相应的MAC地址 把上面的东西填好了，编成批处理文件，把他放到启动项里，就可以了！
下一个360的ARP防火墙 向上面绑定MAC和IP也行
建立DHCP服务器.

ARP欺骗严重的情况下会导致网络瘫痪的。 建议采取如下方案：1. 在DOS窗口中输入arp -a。检查各IP对应的mac地址，如果发现mac地址有重复，就可能存在ARP欺骗。2. 安装ARP防火墙，有arp攻击时一般可以提示攻击来源。 3. 安装WFilter里面的“网络健康度检测插件”，可以检测出ARP攻击的IP地址、MAC地址和MAC厂商信息。

首先需要把系统的补丁打全。 不知你是否用路由器或交换机，如果不用，用不着防不防的。如果有路由器，防arp的方法：在开始——程序——“启动”上新建一个文本文档，打开输入：arp-s***.***.***.***(网关)MAC地址（标记的mac地址）保存后把扩展名改为.bat，然后运行一下。再开机就自动运行，可解决上网时断时续的问题。若想彻底解决arp，需要打好系统补丁（MS06-014和MS07-017），上网下载一个arp防火墙。 希望能对你有用
安装360的ARP防火墙,不会和任何杀毒软件和防火墙有冲突,而且内存小
断网查杀,装ARP防火墙
去下个360ARP防火墙

解决办法 1、在你的电脑上arp -a一下，看看获取到的MAC和IP和网关mac和ip是否一致！2、如果不一致，检查网络里面是否有这个MAC-IP的路由设备，或者通过抓包找出发起arp攻击的IP3、通过一些arp检查工具查找攻击源，找出后重做系统（发arp的机器未必是上不去网的哦）我个人认为掉线问题都是由于底层漏洞出的问题 例如(arpudptcp syn）攻击。一些传统的360卫士、arp防火墙，杀毒软件我都试过了也都不行。而双绑也只是治根不治本的办法。最后我是通过免疫网络彻底的解决了网络底层问题，只有那你的内网升级成为免疫网络，才能从真正意义上做到内网安全，保证你不会再掉线。 建议LZ可以试下。
防arp是一个老大难的问题，网上有很多防arp的工具，原理都是自动绑定本机和网关ip/mac， arp攻击一般都采用网关和终端双向绑定，终端安装arp防火墙方式，但这种方式并不能杜绝arp欺骗数据包在网络中的传播，甚至arp防火墙绑定的ip/mac地址都是错的，我们公司以前老是受arp攻击，绑定，安装arp防火墙后，虽然不掉线了，但是用抓包工具发现，网络上有大量的arp数据包，导致ping网关虽然没有延迟，但是老是丢包，非常郁闷，后来有个电脑城的同学介绍欣向的多wan免疫墙路由器，它有arp先天免疫功能，它在终端安装免疫驱动，能彻底控制终端arp广播的发送，正好公司有两条adsl线路，现在用着挺好，网络挺顺畅，能够监控到每台终端的数据流量，不但彻底杜绝了arp，对网络的监控也非常方便，直观，很好用，大家可以到网上搜一下。
采用ARP绑定，在DOS中输入，ARP-S你的网关地址你网关的物理地址