arp是一種將ip轉化成以ip對應的網卡的物理地址的一種協議， 或者說ARP協議是一種將ip地址轉化成MAC地址的一種協議。 它靠維持在內存中保存的一張表來使ip得以在網絡上被目標機器應答。

　　為什么要將ip轉化成mac呢?簡單的說， 這是因為在tcp網絡環境下， 一個ip包走到哪里， 要怎么走是靠路由表定義。 但是， 當ip包到達該網絡后， 哪臺機器響應這個ip包卻是靠該ip包中所包含的mac地址來識別。 也就是說， 只有機器的mac地址和該ip包中的mac地址相同的機器才會應答這個ip包。 因為在網絡中， 每一臺主機都會有發送ip包的時候。 解決ARP病毒欺騙攻擊常用方法

　　所以， 在每臺主機的內存中， 都有一個 arp-->mac的轉換表。 通常是動態的轉換表(注意在路由中， 該arp表可以被設置成靜態)。 也就是說， 該對應表會被主機在需要的時候刷新。 這是由于以太網在子網層上的傳輸是靠48位的mac地址而決定的。

　　有關ARP病毒問題的處理說明

　　故障現象：機器以前可正常上網的， 突然出現可認證， 不能上網的現象(無法ping通網關)， 重啟機器或在MSDOS窗口下運行命令ARP-d后， 又可恢復上網一段時間。

　　故障原因：這是APR病毒欺騙攻擊造成的。 解決ARP病毒欺騙攻擊常用方法

　　引起問題的原因一般是由傳奇外掛攜帶的ARP木馬攻擊。 當在局域網內使用上述外掛時， 外掛攜帶的病毒會將該機器的MAC地址映射到網關的IP地址上， 向局域網內大量發送ARP包， 從而致使同一網段地址內的其它機器誤將其作為網關， 這就是為什么掉線時內網是互通的， 計算機卻不能上網的原因。

　　臨時處理對策：

　　步驟一、在能上網時， 進入MS-DOS窗口， 輸入命令：arp –a 查看網關IP對應的正確MAC地址， 將其記錄下來。 解決ARP病毒欺騙攻擊常用方法

　　注：如果已經不能上網， 則先運行一次命令arp–d將arp緩存中的內容刪空， 計算機可暫時恢復上網(攻擊如果不停止的話)， 一旦能上網就立即將網絡斷掉(禁用網卡或拔掉網線)， 再運行arp–a。

　　步驟二、如果已經有網關的正確MAC地址， 在不能上網時， 手工將網關IP和正確MAC綁定， 可確保計算機不再被攻擊影響。 手工綁定可在MS-DOS窗口下運行以下命令：arp–s網關IP網關MAC例如：假設計算機所處網段的網關為218.197.192.254， 本機地址為218.197.192.1在計算機上運行arp–a后輸出如下：

　　C:\Documents and Settings>arp -a

　　Interface: 218.197.192.1 --- 0x2

　　Internet Address Physical Address Type

　　218.197.192.254 00-01-02-03-04-05 dynamic

　　其中00-01-02-03-04-05就是網關218.197.192.254對應的MAC地址， 類型是動態(dynamic)的， 因此是可被改變。

　　被攻擊后， 再用該命令查看， 就會發現該MAC已經被替換成攻擊機器的MAC， 如果大家希望能找出攻擊機器， 徹底根除攻擊， 可以在此時將該MAC記錄下來， 為以后查找做準備。 解決ARP病毒欺騙攻擊常用方法

　　手工綁定的命令為：

　　arp –s 218.197.192.254 00-01-02-03-04-05

　　綁定完， 可再用arp –a查看arp緩存：

　　C:\Documents and Settings>arp -a

　　Interface: 218.197.192.1 --- 0x2

　　Internet Address Physical Address Type

　　218.197.192.254 00-01-02-03-04-05 static

　　這時， 類型變為靜態(static)， 就不會再受攻擊影響了。 但是， 需要說明的是， 手工綁定在計算機關機重開機后就會失效， 需要再綁定。 所以， 要徹底根除攻擊， 只有找出網段內被病毒感染的計算機， 令其殺毒， 方可解決。

　　找出病毒計算機的方法：解決ARP病毒欺騙攻擊常用方法

　　如果已有病毒計算機的MAC地址， 可使用NBTSCAN軟件找出網段內與該MAC地址對應的IP， 即病毒計算機的IP地址， 然后可報告校網絡中心對其進行查封。

　　解決措施

　　NBTSCAN的使用方法：

　　下載nbtscan.rar到硬盤后解壓， 然后將cygwin1.dll和nbtscan.exe兩文件拷貝到c:\windows\system32(或system)下， 進入MSDOS窗口就可以輸入命令：nbtscan-r218.197.192.0/24(假設本機所處的網段是218.197.192， 掩碼是255.255.255.0;實際使用該命令時， 應將斜體字部分改為正確的網段)。

　　注：使用nbtscan時， 有時因為有些計算機安裝防火墻軟件， nbtscan的輸出不全， 但在計算機的arp緩存中卻能有所反應， 所以使用nbtscan時， 還可同時查看arp緩存， 就能得到比較完全的網段內計算機IP與MAC的對應關系。

　　補充一下：

　　Anti ARP Sniffer 使用說明

　　一、功能說明：解決ARP病毒欺騙攻擊常用方法

　　使用Anti ARP Sniffer可以防止利用ARP技術進行數據包截取以及防止利用ARP技術發送地址沖突數據包。

　　二、使用說明：

　　1、ARP欺騙：

　　填入網關IP地址， 點擊將會顯示出網關的MAC地址。 點擊即可保護當前網卡與該網關的通信不會被第三方監聽。

　　注意：如出現ARP欺騙提示， 這說明攻擊者發送了ARP欺騙數據包來獲取網卡的數據包， 如果您想追蹤攻擊來源請記住攻擊者的MAC地址， 利用MAC地址掃描器可以找出IP對應的MAC地址。

　　2、IP地址沖突

　　首先點擊“恢復默認”然后點擊“防護地址沖突”。 解決ARP病毒欺騙攻擊常用方法

　　如頻繁的出現IP地址沖突， 這說明攻擊者頻繁發送ARP欺騙數據包， 才會出現IP沖突的警告， 利用AntiARPSniffer可以防止此類攻擊。

　　首先您需要知道沖突的MAC地址， windows會記錄這些錯誤。 查看具體方法如下：

　　右擊-->-->點擊-->點擊-->查看來源為--->雙擊事件可以看到顯示地址發生沖突， 并記錄了該MAC地址， 請復制該MAC地址并填入AntiARPSniffer的本地MAC地址輸入框中(請注意將:轉換為-)， 輸入完成之后點擊， 為了使MAC地址生效請禁用本地網卡然后再啟用網卡， 在CMD命令行中輸入Ipconfig/all， 查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符， 如果更改失敗請與我聯系。 如果成功將不再會顯示地址沖突。

　　注意：如果您想恢復默認MAC地址， 請點擊， 為了使MAC地址生效請禁用本地網卡然后再啟用網卡。

　　Windows 2000/XP測試通過!