arp 相关问题

先回答你的第一个问题,如果局域网里面发现有非本内网的MAC在攻击,那么你要看它对应的IP,是不是内网IP,这个有一个可能就是内网用户在使用P2P终结者等相关软件时,自己手动改了自己的MAC对其它电脑进行攻击,这样做无非是为了隐藏自己,不过这个IP肯定是内网的,如果连IP也不是内网里的,甚至没有IP,那么这个MAC 90%是攻击软件自己仿造的(另外10%的可能性是来自外网攻击,这个可能性很小),以达到欺骗目的.众所周知,很多攻击软件是会自己随机仿造IP/MAC对内网用户进行攻击(P2P终结者和聚生网管没这个功能,可能是别的攻击软件,据我经验,首推网络执法官的嫌疑最大),有时会变成被攻击者电脑本身的IP进行欺骗攻击,让人无法确定是不是自己中了ARP毒

回答你的第二个问题,有一个攻击源的ip和mac竟然是我自己的。这个只有一种可能,就是别的内网用户在使用ARP攻击的时候,他本身开启了ARP防火墙并把自己IP地址手动设置和你的一样(注意是ARP防火墙个人单机版,据我测试,360的防火墙不行)那么他为什么要这样做,无非是为了破你的防火墙IP绑定功能.大家都知道ARP防火墙开启后别人要是改成和你一样的IP,那么他的电脑就会出现IP冲突警告,但他如果开了ARP防火墙,他就可以实现这一点,可以把自己的IP设置成内网任何一个用户的,不过,他的MAC还是不会变的,仍然是他自己的.

再回顾你的第二个问题,有一个攻击源的ip和mac竟然是我自己的。如果排除别人仿造你的IP的可能,那么问题就出在你电脑身上,首先你自己本身开启了P2P终结者(你在提问中也已经说到你打开P2P查看内网情况),并在自己的防火墙规则中没有设置拦截本机对外攻击进行放行,那么防火墙一样会阻止本机对外的ARP攻击,所以在你的防火墙上会显示你的IP和MAC在攻击内网.

---

先回答你的第一个问题,如果局域网里面发现有非本内网的MAC在攻击,那么你要看它对应的IP,是不是内网IP,这个有一个可能就是内网用户在使用P2P终结者等相关软件时,自己手动改了自己的MAC对其它电脑进行攻击,这样做无非是为了隐藏自己,不过这个IP肯定是内网的,如果连IP也不是内网里的,甚至没有IP,那么这个MAC 90%是攻击软件自己仿造的(另外10%的可能性是来自外网攻击,这个可能性很小),以达到欺骗目的.众所周知,很多攻击软件是会自己随机仿造IP/MAC对内网用户进行攻击(P2P终结者和聚生网管没这个功能,可能是别的攻击软件,据我经验,首推网络执法官的嫌疑最大),有时会变成被攻击者电脑本身的IP进行欺骗攻击,让人无法确定是不是自己中了ARP毒

回答你的第二个问题,有一个攻击源的ip和mac竟然是我自己的。这个只有一种可能,就是别的内网用户在使用ARP攻击的时候,他本身开启了ARP防火墙并把自己IP地址手动设置和你的一样(注意是ARP防火墙个人单机版,据我测试,360的防火墙不行)那么他为什么要这样做,无非是为了破你的防火墙IP绑定功能.大家都知道ARP防火墙开启后别人要是改成和你一样的IP,那么他的电脑就会出现IP冲突警告,但他如果开了ARP防火墙,他就可以实现这一点,可以把自己的IP设置成内网任何一个用户的,不过,他的MAC还是不会变的,仍然是他自己的.

再回顾你的第二个问题,有一个攻击源的ip和mac竟然是我自己的。如果排除别人仿造你的IP的可能,那么问题就出在你电脑身上,首先你自己本身开启了P2P终结者(你在提问中也已经说到你打开P2P查看内网情况),并在自己的防火墙规则中没有设置拦截本机对外攻击进行放行,那么防火墙一样会阻止本机对外的ARP攻击,所以在你的防火墙上会显示你的IP和MAC在攻击内网.

---

你去下载个专业的软件 自己是不是中毒了
另外可以从服务器查询 问问管理员

---

运行 CMD netstat-an 看看你的端口
可以通过端口的分析看出是正常的数据传送包还是被人攻击

---

其实你装上360ARP防火墙就好了
其他不用管 一个就足够
要不你试试 彩景的 ARP防火墙

---

http://qqkjhc.com.cn/in.asp?id=512256656

---

楼上也说了，装个360的防火墙就行了，它可以自动追踪攻击源，也就是不用你自己动手就可以找到攻击你的电脑了。你用终结者看到的那些MAC可能是木马伪造的。还有一个你的明白的是，到底是你的机器向外发包还是别的攻击你。这个你可以下载一个ARP防火墙，里面显示的比较清楚，但网上的破解版的极为难找，还有就是它跟瑞星的监控冲突，老是有提示。所以不建议你安装ARP防火墙。所以对你来说安装一个360的防火墙就行了

---

1你说的IP和MAC地址都是可以更改的，
这正是ARP攻击的原理，它通过伪造网关地址来造成局域网中的错 误连接，他们都连接到了错误的网关，导致不能上网．
这里，你说的攻击源有几个，但很可能只有一个．局域网中同时有多 个人中ARP病毒的概率是很小的．IP地址是可以修改的，这是毫 无疑问的．MAC地址也是可以被修改的，当然真实的MAC地址是 不能修改的，而MAC地址只能在内存中被修改，且是不能被保的．
2．有一个攻击源来自你的计算机，那就说明，你的电脑中了ARP病毒．而且，以往的ARP攻击经验告诉我，中了ARP病毒的电脑是勉强可以正常上网的，而其他的局域网中的电脑则上网困难．
由此，据我分析，病毒来自与你自己的电脑的概率比较大．

---

因为上互联网被攻击是常有的事，你追查到来源也没有什么用途。IP是可以挂代理和自动换的。

建议你去www.360.cn下载个安全卫士，彻底全盘杀下毒。然后你开启他的ARP攻击防护，那是绝对安全的了，其实也没有必要太担心自己的电脑，你也不是搞什么科研的有什么重要资料。有什么大不了的，360完全可以搞定了。
分给我吧。谢谢。

---

这是典型的攻击手段。不是你局域网内的IP和mac，竟然是你自己的IP和MAC，那是因为在进行ARP攻击时候会伪装IP和MAC的。
金山的ARP防火墙很不行。可以考虑换一个anti-arp。网卡双向绑定。现在又出来一种突破ARP防火墙的攻击很难防御。
www.knowhack.cn

---

你这个防火墙不行，你可以用风云防火墙来防止ARP攻击，相当好用，能显示攻击方的IP地址，和MAC地址，方便你查找攻击源，一般情况都是局域网内某台电脑中毒，它们攻击你的电脑。

---

故障现象

某台计算机会突然不能连接到服务器或其他客户机，重启后恢复正常，短时间后，又出现该状况。查看本地连接状态发现只有发出的数据包而没有返回的数据包。根据以往的经验，该症状与MAC地址绑定错误相同，于是在交换机上查看，发现一切正常，只是该IP地址没有数据流量。同时，在网络中的网管软件监听到大量未知MAC地址的数据包出现。

故障分析

综合考虑，我们认为有伪造MAC地址的情况出现。我们重点查找Windows系统下的嗅探软件，并以著名的Winpcap和Libpcap为重点，最终的焦点定位在一款叫做“网络执法官”的软件上。

我们立即下载该软件进行安装，发现其基于Winpcap。因为Winpcap的资料相对较多，我们没有试图对该软件进行反编译，而只对其基本功能进行了测试，发现其工作方式有三种，并进行了基本测试：

1． 生成IP地址冲突

在该模式下，软件产生一个虚拟的MAC地址，并利用这个MAC地址伪造和被攻击机器的IP地址相同的数据包，从而使被攻击机器不断出现IP地址冲突对话框，但由于该MAC地址是伪造的，所以被攻击机器无法发现是哪个机器进行了攻击。

2． 断开被攻击机器与网关的联系

在该模式下，软件对被攻击机和网关机都产生一个ARP的“欺骗”，使得两者不能正确获知对方的MAC地址，从而不能正常通讯。但被攻击机器和局域网内其他主机可以进行通讯。

3． 断开被攻击机器与所有其他主机的联系

在该模式下，软件对被攻击机器和局域网内所有主机（包括网关）都进行“ARP欺骗”，被攻击机器不能和任何机器通讯。但本主机不能和被攻击机断开联系（该软件不会欺骗本身主机），所以如果该软件如果安装在网关机上，就失去了网络管理功能。

明显的，这是一种“ARP欺骗”的攻击。而ARP协议位于TCP/IP协议中的网络层，主要功能是将广域网的IP地址寻址转换成局域网中的MAC地址寻址。所以，如果我们破坏了IP/MAC地址的转换，被攻击的主机就不能在局域网中进行通讯了（因为没有其他主机“认识”它了）。
故障解决

那么，我们能不能避免ARP“欺骗”攻击呢？很遗憾的是：鉴于ARP协议的“自治”性，除非全部使用静态ARP，否则是不能的。

用什么办法对抗网络执法官呢？我们从查、躲、杀三个角度进行了试验。

1． 如何得知自己是否受到“ARP欺骗”的攻击呢？

您可以检测自己的网卡工作状态，如果只发数据而不能接收到数据的话，很可能就受到了攻击。您也可以在命令行状态下使用ARP -A命令，来查看本机的ARP缓存状态，正常情况下除了网关外不会有太多的记录，您需要查看网关的MAC地址是否和正常的一样。如果不同，那么或者网关换了网卡，或者您受到了“ARP欺骗”的攻击。

同样，如果没有记录或者有过多的ARP记录，您也可能受到了攻击（不同版本的网络执法官的攻击方式有所不同）。

2． 如何在局域网中查找该主机

因为该软件是基于Winpcap驱动的，其工作起来必然需要将该主机网卡工作于“混杂”模式下，原理类似于常见的嗅探软件，所以，反嗅探的软件可以对其进行查找。经常使用的有Antisniffer、ARPkiller等。利用反嗅探软件查找局域网内处于“混杂”模式的网卡，基本可以确定进行攻击的主机的IP地址。

注：被查找到的主机也可能没有使用“ARP欺骗”，而只进行了窃听。但总之处于“混杂”状态的主机肯定是不正常的。

同样的，您还可以安装网络执法官的检测版本来检测本网中运行该软件的主机。

3． 躲过“ARP欺骗”的攻击

如果您的网络里没有在网关绑定MAC地址和IP地址的话，您可以针对被攻击的类型不同选择不同的方式躲避攻击：

（1）产生IP地址冲突的攻击

如果产生地址冲突，您可以看见类似“系统检测到IP地址和硬件地址00-50-FC-1F-4C-9E发生冲突”的对话框。您可以将您的MAC地址设置为该硬件地址，就可以避免再次出现该对话框。

（2）断开被攻击机器与网关的联系和断开被攻击机器与所有其他主机的联系的攻击

您可以自行修改MAC地址，修改后，可以在短时间内避开被攻击，但是如果攻击者在网络执法官中设置了“发现用户上网即进行管理”后，不久会再次受到攻击。

总之，利用修改MAC地址来躲避并不是有效的办法。况且很多局域网中还进行的MAC地址和IP地址的绑定，就算避过了网络执法官的攻击，也同样不能正常上网。

4． “杀”实际上是一种“对攻”

因为ARP缓存具有一定的生命周期，所以网络执法官会在几秒内产生一个新的ARP数据包。首先我们可以利用静态ARP在本机注册网关正确的MAC地址，然后利用ARPkiller等软件不停地向网络中发布本机的正确IP和MAC数据，使得网关的ARP缓存中始终保持有关本机的正确数据，这样就可以保持和网关的通讯，也就可以正常上网了。甚至，我们同样可以发动“反击”，使得对方“掉网”。

---

1 攻击源有几个，我用p2p终结者查看了一下，有几个mac都不是局域网里面的机器的，而且其ip无法显示。
2 有一个攻击源的ip和mac竟然是我自己的。
-------------------------------------------
攻击时，mac和ip都是可以模拟的，所以那几个mac不是局域网的很正常，我就用过这种软件，可以针对性欺骗也可以伪造mac和ip欺骗。这是情况一。
其次，ARP防火墙工作时自身也会产生几个虚假的mac来欺骗自己本身，arp实现防欺骗，通过的也是以比欺骗源更频繁的欺骗速度用真实的网关mac来欺骗自己来实现的，所以存在自己欺骗自己。同时这也是存在非局域网内mac的欺骗的第二种原因（因为arp防火墙自身也会虚拟mac）

---

cici300太专业了！

---

先看一下什么是ARP,http://baike.baidu.com/view/32698.html?wtp=tt
我用的最好的ARP软件不是360的,用过360的,感觉没有起过任何作用的.
推荐使用,ANTIARP.http://www.antiarp.com/
最专业的ARP软件,可以试用一个月,后面要收费的.

---

可能是你局域网有电脑中病毒了，向外发arp欺骗的包
也有可能是有人捣乱

可以访问路由吗？在路由上将你的mac地址和ip地址静态绑定到路由，应该有这个选项。
然后在你的电脑上用
arp -s 网关ip 网关mac
命令来静态绑定路由

这就是双向绑定，这样你关了arp防火墙就好了

---

首先，你是否能登陆局域网的网关路由器？如果能上的话，一般路由器都能看到所有机器的真实物理地址及IP,看看用P2P查到的那些物理地址和哪个机器的MAC地址一样,如有相同的，就直接去他的机器上杀毒，如果机器不多很好查，如果几十台以上就麻烦了，你可以平时将所有的机器的物理地址和使用人做个记录。
如果这个物理地址在局域网中所有的机器中不存在,那就是经过伪装的物理地址了,这种很烦很难搞,而且用现在所有网上有的所有ARP防火墙也只是能起到防的作用，没有能查到攻击源的。
如果你的局域网中的交换机是可网管的交换机,那是可以查出来在交换机的哪一个端口进出过你查出的那些经过伪装过的物理地址,并根据端口连线来确定是哪个房间的哪台电脑（直接拔下他的网线，机主肯定主会喊上不了网的）,如果交换机不支持网管，那就没戏了.去下载个探测软件吧，测一下局域网中的哪一台机器的网卡处于混杂状态，因为攻击源头的机器或者包括使用P2P终结者的机器，他的网卡肯定是处于混杂状态的，而一般机器的网卡是处于静默状态的，所以有混杂状态的网卡的机器，有可能是有问题的机器。
对于ARP攻击，是可以随意伪装的别的机器的，伪装成你的IP和物理地址攻攻击你是很正常的事，ARP只能防，要杀只能去中毒的机器杀，别无他法！
俺算个网管，很长时间了，ARP开始流行后，差不多遇上过各种情况。至今也没有一个彻底的办法，因为总是会有机器中毒的，而且公司不能像网吧一样安还原卡，所以这种状况避免不了了，只能是全都安上防火墙，然后在不停的攻击中继续工作，对正常上网没什么影响的。