ARP攻击拦截下来之后怎么办？

一、故障原因及现象

局域网内（指某一网段，比如：10.48.123这一段）有电脑使用ARP欺骗程序（比如：传奇、QQ盗号的软件等）发送ARP数据包，致使被攻击的该网段内的电脑不能上网,如果是非该网段电脑也不能上网，那么另外的网段中可能也有部分电脑中了ARP病毒。

当局域网内某台电脑A向电脑B发送ARP欺骗数据包时，会欺骗电脑B将其通信的数据发向电脑A，电脑A通过对截获的数据进行分析，达到窃取数据（如用户账号）的目的。

被ARP欺骗的电脑会出现突然不能上网，过一段时间又能上网，反复掉线的现象。

二、故障诊断

如果用户发现突然不能上网，可以通过如下操作进行诊断：

点击"开始"按钮->选择"运行"->输入"arp

-d"->点击"确定"按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

"arp

-d"命令能清除本机的arp表，arp表被清除后接着系统会自动重建新的arp表，"arp

-d"命令并不能抵御ARP欺骗，执行"arp

-d"命令后仍有可能再次遭受ARP攻击。

三、故障处理

1.

使用AntiArp软件抵御ARP攻击。

点击这里下载AntiArp软件

运行AntiArp，输入本网段的网关ip地址后，点击"获取网关MAC地址"，检查网关IP地址和MAC地址无误后，点击"自动保护"。

若不知道网关IP地址，可通过以下操作获取：点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按回车，"Default

Gateway"后的IP地址就是网关地址。

AntiArp软件会在提示框内出现病毒主机的MAC地址。

2.

利用MAC地址，使用nbtscan工具找到病毒主机地址。

点击这里下载nbtscan软件

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找木马主机的ip地址。

NBTSCAN可以取到PC的真实IP地址和MAC地址，命令："nbtscan

-r

192.168.1.0/24"（搜索整个192.168.1.0/24网段,

即192.168.1.1-192.168.1.254）；或"nbtscan

192.168.1.25-127"搜索192.168.1.25-127

网段，即192.168.1.25-192.168.1.127。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为"000d870d585f"的病毒主机。

1）将压缩包中的nbtscan.exe

和cygwin1.dll解压缩放到c:\下。

2）在Windows开始

运行

打开，输入cmd（windows98输入"command"），在出现的DOS窗口中输入：C:\nbtscan

-r

192.168.1.1/24（这里需要根据用户实际网段输入），回车。

C:\Documents

and

Settings\ly>C:\nbtscan

-r

192.168.1.1/24

Warning:

-r

option

not

supported

under

Windows.

Running

without

it.

Doing

NBT

name

scan

for

addresses

from

192.168.1.1/24

IP

address

NetBIOS

Name

Server

User

MAC

address

192.168.1.0

Sendto

failed:

Cannot

assign

requested

address

192.168.1.50

SERVER

00-e0-4c-4d-96-c6

192.168.1.111

LLF

192.168.1.121

UTT-HIPER

00-0d-87-26-7d-78

192.168.1.175

JC

00-07-95-e0-7c-d7

192.168.1.223

test123

3）通过查询IP--MAC对应表，查出"000d870d585f"的病毒主机的IP地址为"192.168.1.223"。

3、清除病毒主机的病毒。

1）使用专用软件清除木马（不一定能完全清除）。

点击这里下载　木马杀客　软件

2）完全格式化，重新安装系统。