1.公司局域网内的一台电脑中毒了,老是向其他电脑发ARP攻击,怎么办

你看看这个帖子~~~如何解决并不是最主要的，有了相关知识才是最重要的防范ARP地址欺骗类病毒 什么是ARP协议 要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。

ARP是地址转换协议的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时为上层（网络层）提供服务。 我们知道，二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。

因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。 ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。

这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（Windows系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟），就会被删除。

通过下面的例子我们可以很清楚地看出ARP的工作机制。 假定有如下五个IP地址的主机或者网络设备，它们分别是： 主机A 192.168.1.2 主机B 192.168.1.3 网关C 192.168.1.1 主机D 10.1.1.2 网关E 10.1.1.1 假如主机A要与主机B通信，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2，而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个ARP包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。

这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了，直到通信停止后2分钟，这个对应关系才会从表中被删除。

再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通信，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D(10.1.1.2)的，它就会检查自己的ARP缓存，看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通信。

通过上面的例子我们知道，在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性，像主机B之类的是无法截获A与D之间的通信信息的。

但是主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能。

首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是02-02-02-02-02-02，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成02-02-02-02-02-02，同时主机B向网关C发送一个ARP响应包说192.168.1.2的MAC是02-02-02-02-02-02，同样，网关C也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成02-02-02-02-02-02。当主机A想要与主机D通信时，它直接把应该发送给网关192.168.1.1的数据包发送到02-02-02-02-02-02这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关C，当从主机D返回的数据包到达网关C后，网关也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往02-02-02-02-02-02这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通信，这样就成功地实现了一次ARP欺骗攻击。

因此简单点说，ARP欺骗的目的就是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。

如何发现及清除 局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网，现在却转由通过被控主机转发上网。

由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞。

一旦怀疑有ARP攻击我们就可以使用抓包工具来抓包，如果发现网内存在大量ARP应答包，并且将所有的IP地。

2.公司局域网内的一台电脑中毒了,我怀疑这台电脑发ARP攻击,怎么办

你一定要认清楚ARP攻击所属于的病毒攻击类型，他和单机病毒、系统蠕虫病毒、木马病毒是完全不同的，以上病毒攻击可以称之为单机应用层的攻击，一旦中了单机病毒，那么有以下几个特征可以供咱们去查杀它们，在系统进程中可以看到莫名的不认识的进程，可以看到CUP大量资源被某个进程占用。系统盘里面有不知名的非法执行程序。这些都可以通过杀毒软件去查杀。也可以人为的删除比如做系统什么的。

但是ARP攻击是以太网协议先漏洞产生的底层协议攻击，他不同于单机病毒会有种种现象供我们查杀。因为他主要工作在数据链路层和第三层之间，而杀毒软件一般工作在应用层，所以根本无法查杀它们，向360提供的发现ARP攻击被拦截，它发现的是攻击信息，拦截的是攻击信息，是为了告诉人们你或者整个局域网被ARP攻击了，他拦截的不是攻击。只是攻击时的虚假地址信息，因为这个虚假信息在内网中根本就不存在，所以我们也就没办法知道是谁被攻击或者是谁发起的攻击。

那么 怎么彻底解决ARP协议攻击呢？想要彻底解决他那么只有解决以太网协议的先天漏洞，毕竟咱们所有的网络都是跑在以太网上面的，只有解决了以太网协议漏洞，才能根除各种协议攻击。因为ARP协议攻击给我们造成的损失时无法预测的，目前的一些简单的现象就可以体现出ARP攻击的威胁有多大，比如掉线、卡网速慢，VPN连接不通畅，视频会议不清晰，更甚至导致电脑机密资源和账号被盗取，比以往的木马什么的单机病毒威胁更大、更严重。因为你的资源被窃取了有可能自己都不知道，他不向木马病毒你可以查杀到他，协议攻击是无法看到的。

很可能你们对“免疫网络”还不知道是怎么一回事，你可以先体会下“免疫”这个词语就是以自己本身的防御力为主。只有自己的免疫增强了才能抵御外界的病毒侵害，如果想详细了解“免疫网络”你可以联系下北京欣全向科技有限公司，该公司的巡路免疫网络解决方案完全是针为用户打造免疫网络，而研发的方案。

3.局域网内有电脑有病毒怎么办

方法

1.扫描杀毒，清除ie缓存，cookies;

2.如果不行，打开局域网内最临近的另一电脑，查看同局域网内的电脑是否出现同样状况；

3.将所有的电脑断开连接，也就是拔掉网线；

4.完全断电，拔掉电源线；

5.用网络监听工具，看一下局域网内哪台主机的ARP包特多。利用ARP协议进行攻击一般会出现 MAC相同的用户，如果手中有MAC表那就可以对照着查找，一台一台处理；

6.如果还不行，可以把所有网络里的电脑都直接从新做GHOST系统一遍就可以；

7.如果是厉害的U盘病毒会继续潜伏在其他非系统磁盘里，重新做系统也没用，需要完全格式化，之后在重装系统。

诀窍

如果是厉害的病毒估计用国产杀毒软件是没办法的，而且通过注册表处理不但工作量巨大，而且效果也不一定好，最后也不会弄。 建议直接重新做系统，GHOST也可以。

手工查找感染ARP病毒的主机过于烦琐，可以使用网络监听工具。

局域网病毒防范方法：

1.增加安全意识；

2.小心邮件；

3.挑选网络版杀毒软件。

提醒

局域网内请不要没装杀毒软件裸奔。

请勿浏览不健康的网站。

局域网病毒传播方式有以下几种：

1.病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；

2.病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；

3.病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；

4.如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。

4.局域网如果有一台电脑中毒怎么办,自已又不能叫人家杀毒

用影子系统把

只把C盘做个影子不用担心公司资料无法保存

PowerShadow现在免费给中国用户使用

即使不免费一公司为单位出钱买一个也不贵

影子系统：助你打造最稳定的无毒系统

PowerShadow是款很奇特的小软体，当你安装它（安装与操作非常简单）并重新启动电脑以后，

电脑会类似安装了双系统一样，多出一个启动项，选择其中PowerShadow Master的启动项后，跟原

系统完全一样的使用，而且资源使用与速度及稳定性跟原系统一样！但是你的一切操作，包括安装

程式（甚至运行病毒），在下次用原系统启动时，这些操作对原系统都是无效的，亦即对原系统无任

何不良影响！这就是影子系统PowerShadow的精髓所在。

PowerShadow它并非虚拟系统，因为PowerShadow是执行在使用中的系统上，PowerShadow只是原

系统的影子！意思是说，原系统中安装了的任何软体，设定，一切都在影子系统中保存。而且用户可

以随时调用影子系统，影子系统便马上进入状态，用户不须重新安装系统，亦不须等待执行时间，

PowerShadow的最大特点是，用户由原系统进入影子系统，再退出影子系统返回原系统的整个过程，

所做的档案储存，上网记录，软体安装等等都不会被记录。

可以说，“就像没有做过任何事情”一样。所以影子系统的应用非常广泛，例如进入影子系统后

便不怕病毒入侵，你可以随意打开可疑邮件的执行档，就算执行档是病毒，它马上发作，但是只要你

退出影子系统便像什么也没有发生过，一切安好。如果你想安装一个软体作测试，在影子系统中便最

好不过，因为就算安装失败，或试用完成，你只要退出影子系统，在原系统中会发觉根本就没有安装

过这个软体，你甚至不须移除软体。如果你打算流览很多网页，又不想网址被记录，在影子系统中便

最好不过，因为退出影子系统后将不留下任何痕迹。

PowerShadow的优点：

综合来说，使用PowerShadow的好处便是“能在不影响原系统的情况下，使用原系统的所有功能。

”不要小看这个功能，这个功能平时要实现非得使用诸如GHOST之类的程式不可。但如果想用GHOST代

替PowerShadow的功能，非得在每次想调试时，先做一个GHOSTIMAGE，然后便调试，调试完再用GHOST

还原系统。可是当系统容量愈来愈大，做出来的GHOSTIMAGE容量愈大，而且制造IMAGE的时间便愈长，

更加需要时间去还原。使用PowerShadow却可随时进入影子系统，只是1秒间的事，比使用GHOST的大工

程节省甚多时间。

主要应用：

1、利用PowerShadow能对操作不留任何痕迹；

2、预防病毒入侵、发作、木马的攻击等，真正的百毒不侵；

3、需要下载带有可疑附件的电子邮件时；

4、测试、调试新软体，无任何后顾之忧与删除垃圾之工作；

5、修改注册表时，可以在PowerShadow上尝试，看看会否出现严重问题；

6、服务器上使用PowerShadow，让它更加安全、稳定，并减少管理员维护的负担；

7、试用极危险的操作 。

可以参考：/main.jspe?siteid=554336258

/?xcajcj

参考资料：/?xcajcj