arp病毒是什么ARP病毒是什么原理?

ARP病毒是什么啊？有什么危害啊？各位大侠们帮帮我啊

ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。

它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

　　第二种ARP欺骗的原理是——伪造网关。

它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

在PC看来，就是上不了网了，“网络掉线了”。

1、如何发现清除arp病毒

　　1 、检查本机的“ ARP 欺骗”木马染毒进程

　　点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

　　右键点击此进程后选择“结束进程”。

　　2 、检查网内感染“ ARP 欺骗”木马染毒的计算机

　　1）在“开始” “运行”输入cmd后确定。

　　2）在弹出的命令提示符框中输入并执行以下命令ipconfig

　　3）记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 10.17.1.1”。

　　4）再输入并执行 以下命令： arp –a

　　5）在“ Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-05-e8-1f-35-54 ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

　　3、静态ARP绑定网关

　　步骤一：

　　在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址， 并将其记录下来。

　　注意：如果已经不 能上网则输入一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。

一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。

　　步骤二：

　　如果计算机已经有网关的正确MAC地址，而不能上网。

只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。

　　要想手工绑定，可在MS-DOS窗口下运行以下命令：

　　arp －s 网关IP 网关MAC

　　例如：假设计算机所处网段的网关为10.17.1.1，本机地址为10.17.1.14，在计算机上运行arp －a后输出如下：

　　Cocuments and Settings>arp -a

　　Inte##ce: 10.17.1.14 --- 0x2

　　 Address Physical Address Type

　　10.17.1.1 00-0f-e2-1c-a1-3a dynamic

　　其中，00-0f-e2-1c-a1-3a就是网关10.17.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。

　　被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。

如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。

　　手工绑定的命令为：

　　arp –s 10.17.1.1 00-0f-e2-1c-a1-3a

　　绑定完，可再用arp －a查看arp缓存：

　　Cocuments and Settings>arp -a

　　Inte##ce: 10.212.63.100 --- 0x2

　　 Address Physical Address Type

　　10.17.1.1 00-0f-e2-1c-a1-3a static

　　这时，类型变为静态（static），就不会再受攻击影响了。

　　但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。

所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。

2、下载arp防御软件

　　1. 金山ARP防火墙beta。

　　双向拦截ARP攻击、支持Vista、初级用户零设置+丰富的高级设置、安装免重启、低资源占用。

　　2. 360ARP防火墙

ARP病毒是什么原理?

arp病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称。

arp协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址（又称MAC地址）。

通常此类攻击的手段有两种：路由欺骗和网关欺骗。

是一种入侵电脑的木马病毒。

对电脑用户私密信息的威胁很大。

ARP病毒是什么原理?

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。

它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。

它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

在PC看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。

有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。

而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。

为此，宽带路由器背了不少“黑锅”。

作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。

一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。

二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。

一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。

显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。

该命令只有在安装了 TCP/IP 协议之后才可用。

arp -a [_addr] [-N [if_addr] arp -d _addr [if_addr] arp -s _addr ether_addr [if_addr] 参数 -a 通过询问 TCP/IP 显示当前 ARP 项。

如果指定了 _addr，则只显示指定计算机的 IP 和物理地址。

-g 与 -a 相同。

_addr 以加点的十进制标记指定 IP 地址。

-N 显示由 if_addr 指定的网络界面 ARP 项。

if_addr 指定需要修改其地址转换表接口的 IP 地址（如果有的话）。

如果不存在，将使用第一个可适用的接口。

-d 删除由 _addr 指定的项。

-s 在 ARP 缓存中添加项，将 IP 地址 _addr 和物理地址 ether_addr 关联。

物理地址由以连字符分隔的6 个十六进制字节给定。

使用带点的十进制标记指定 IP 地址。

项是永久性的，即在超时到期后项自动从缓存删除。

ether_addr 指定物理地址。