您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识

怎么定位局域网到底是哪台电脑感染了arp病毒？

地址,电脑,局域网怎么定位局域网到底是哪台电脑感染了arp病毒？

发布时间：2016-12-08加入收藏来源：互联网点击：

怎么定位局域网到底是哪台电脑感染了arp病毒？

回答于 2019-09-11 08:43:50

回答于 2019-09-11 08:43:50

如果局域网的电脑感染了arp病毒，局域网电脑会出现频繁掉线的情况，局域网网络不稳定，影响到正常的业务。如何能够定位感染arp病毒的电脑，进行隔离，下文说一说。

ARP数据包的作用

ARP数据包用于实现IP地址到MAC地址的翻译，实现网络通信的第一步，通常是将数据包发送到网关地址，比如网关地址是”192.168.1.1“；

向局域网的所有终端广播”谁的IP地址是192.168.1.1？“，如果能够收到正确的回答，就可以完成通信过程，如果收到了不正确的回应，那么电脑就掉线了。


判断局域网是否遭到ARP攻击

局域网如果受到ARP攻击，在网络中存在大量的ARP数据包，伪造网关地址，导致用电脑掉线，无法正常使用网络；


判断的方法比较简单，打开电脑的cmd命令行窗口，输入“arp -a",就可以查看到ARP信息，如果存在多条与网关地址对应的ARP信息时，说明局域网遭到了ARP攻击。


锁定感染ARP病毒的电脑

很多ARP防火墙监测ARP攻击，并且定位被感染的电脑，比如360的流量防火墙、聚生网管等工具，下面以常用的360安全卫士说一说。





step1：打开”流量防火墙“功能

在软件的主界面选择”功能大全“，找到”流量防火墙“功能选项，开启流量防火墙功能。


step2：打开”ARP主动防御“功能

打开流量防火墙功能之后，找到ARP主动防御选项，开启该功能，就可以针对局域网ARP攻击进行监测和主动防御操作了，同时可以通过查看相关日志了解拦截情况。





step3：绑定网关地址

在流量防火墙首次使用时，需要手动绑定网关地址，如下图所示。


step4：检测ARP攻击

如果电脑受到了ARP攻击，”360流量防火墙“会发出报警，如下图所示，此时就可以看到攻击这电脑IP地址、MAC地址信息等，进而在网管软件上进行隔离操作。


如何防止ARP攻击

防止ARP攻击可以在路由器上进行操作，也可以在CAMS等认证系统上进行操作，实现IP地址与MAC地址的绑定；


在路由器或者交换机上可以对IP地址和MAC地址进行静态绑定，防止局域网ARP攻击；


对于安装了CAMS实现802.1x认证的局域网，可以通过IP地址和MAC地址绑定的形式防止局域网ARP攻击。


---

对于如何防范局域网ARP攻击，大家有什么看法呢，欢迎在评论区，留言讨论。

如需更多帮助，请私信关注。谢谢

回答于 2019-09-11 08:43:50

ARP病毒想必大家都听说过，这种病毒一般是会在局域网内进行传播的，一旦局域网内有一台电脑中了这种ARP病毒，那么就会自动向外发送ARP欺骗攻击，导致局域网内的其他人的电脑都会自动开始掉线，但一般局域网内有很多台电脑，比如学校、公司等，想查找那一台电脑中毒非常困难

【查找那台电脑中了病毒】

1， 想要杀毒，那么肯定就要先锁定是那台电脑中了病毒，那么面对如此多的电脑应该怎么查找呢，当然就是锁定IP或者是MAC地址了。

2， 想要锁定IP，那么我们需要借助一些第三方软件，比如说腾讯电脑管家，打开后可以在工具箱内找到一个【ARP防火墙】功能

3， 打开这个功能后，会有一个加载的时间，加载完成后，可以看到里面有一个【拦截日志】在这里面可以看到对你电脑发出攻击的IP地址和MAC地址，根据这个找到中毒电脑。

【第三方软件卸载】

1，既然找到了病毒所在的电脑，下一步自然就是开始杀毒了，先同样在这台电脑上面打开ARP防火墙功能，这样就会自动拦截下电脑本身发出的攻击。

2， 打开后下一步就是开始杀毒了，返回到腾讯电脑管家的主界面，找到杀毒功能，然后直接点全盘查杀，腾讯电脑管家会自动找到病毒彻底删除。

【注意事项】

1，电脑有了木马病毒一定要第一时间查杀

2，查杀了电脑病毒后，要及时重启才可以保证病毒杯全部查杀

回答于 2019-09-11 08:43:50

这类问题我经常遇到过。以我处理这类问题的经验来看，ARP病毒有个特点，就是在交换机上篡改同一地址段的其他电脑MAC地址，致使其他电脑不能通过交换机上网。这个时候登录交换机查看，同一地址段有多台电脑虽然IP不一样，从交换机接口接入的口也不一样，但是MAC地址是一样的。

处理方法一是平时注意收集交换机上MAC地址列表，查对应的MAC地址就可以确定是哪台机中毒了，关闭这台机的对应端口再试。接下来找到这台机处理木马病毒，建议用一个叫“清理助手”的小软件，可以快速有效的清理掉木马病毒。

如果是以前没有收集过MAC地址，或者是新接入的电脑，或者更严重的变种木马病毒，中毒显示的不是任何一台机的真实MAC地址，这样处理起来比较麻烦。可以把被篡改的MAC地址段的交换机上的对应端口试着关闭，关闭到哪一个端口正常的话，接下来就是追查这个端口上接入的电脑。

回答于 2019-09-11 08:43:50

根据局域网机理，局域网通信，其相关设备相互寻址，要建立mac表项、arp表项（mac地址对应ip地址表）和路由表项等三个表项。如果局域网不复杂，arp协议属于3层或2.5层协议，arp病毒利用该协议漏洞，感染arp病毒计算机把自己模拟成网关和路由，这样受攻击的计算机找不到正常出口和路由路径，造成上不了网，定位中毒的计算机终端很容易，一是在受攻击的电脑查arp表和路由追溯，马上可查到那台计算机；二是抓包，看哪台机器发arp包最多，就是哪台。这是个很简单的问题，希望对你有帮助。

 1/2    1 2 下一页 尾页