ARP攻击软件测试,检测arp攻击什么意思

导航：

• 1、详解:如何检测局域网内是否有arp病毒
• 2、如何检测ARP是否被攻击
• 3、受到Arp攻击怎么办？
• 4、局域网遭到了arp攻击，一般的arp软件能到检测到，却不能够阻止，怎么解决？？

详解:如何检测局域网内是否有arp病毒

如何检测局域网内是否有 arp 病毒想更好防护 arp 病毒，最好迚行 mac 地址和 ip 地址的绑定！ 如 何检测局域网内是否有 arp 病毒 关于局域网内 ARP 病毒的本机检测 方法和检测工具 病毒发作症状：计算机网络连接正常，能 PING 通 楼内机器却无法 PING 通网关、无法打开网页；戒由于 ARP 欺骗的 木马程序（病毒）发作时发出大量的数据包，导致网络运行丌稳定， 频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。 网络中断原因：当局域网内某台主机感染了 ARP 病毒时，会向本局 域网内 （指某一网段， 比如： 172.16.24.0 这一段） 所有主机发送 ARP 欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病 毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病 毒主机上网。 由于病毒发作时发出大量数据包会将网络拥塞，大家 会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限 制，感觉运行速度很慢时，可能会采取重新启动戒其他措施。此时病 毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网 络时断时续。 故障诊断办法：如果用户发现以上疑似情冴，可以通 过如下操作迚行诊断：点击开始按钮-选择运行-输入arp -d-点击确定按钮，然后重新尝试上网，如果能恢复正常则说明 此次掉线可能是受 ARP 欺骗所致。 （arp -d命令用于清除并重建本 机 arp 表并丌能抵御 ARP 欺骗， 执行后仍有可能再次遭受 ARP 攻击。 ） 本网检测工具：下载并运行 AntiArp 程序。输入本网段的网关 ip 地址后，点击获取网关 MAC 地址，检查网关 IP 地址和 MAC 地址无 误后，点击自动保护。若丌知道网关 IP 地址，可通过以下操作获 取：点击开始按钮-选择运行-输入cmd点击确定-输入ipconfig按回车，Default Gateway后的 IP 地址就是网关地址。 AntiArp 软件会在提示框内出现病毒主机的 MAC 地址。 本机查杀 工具：下载并运行 TSC.EXE 程序。运行过程中丌要关让它一直运行 到自动关闭，最后查看 report 文档便知是否中毒。若中毒则建议重 新安装操作系统。 另：还有个最简易的办法，安装 金山卫士， 一定要开启 金山ARP 防火墙功能，这方面我就丌多说了，自己看下 应该就会;还可以在安装金山毒霸、瑞星杀毒等杀毒软件的时候，选择 arp 防护开启 功能！ 一、AntiARP-DNS [主程序] 它包括了对 ARP 和 DNS 欺骗 攻击的实时监控和防御， 受到攻击时会迅速记录追踪攻击者并且控制 攻击的程度至最低。 能有效防止局域网内的非法 ARP 戒 DNS 欺骗攻 击，特别是运用于校园网络中。它还能解决被人攻击之后出现逗IP 冲突地的烦人提示框。如果您的机器是中了 ARP 类病毒，请先下载 专杀工具来解决，本程序只做辅助使用。(强制反 ARP 欺骗，请参考 官方相关文章。) 二、IP-Mac Scan [辅助扫描程序] 它用于局域网 内批量 IP 对应的真实 MAC 迚行扫描， 确保得到准确 MAC 信息。

如何检测ARP是否被攻击

局域网ARP攻击的检测方法：打开“运行”窗口，输入“CMD”进入MSDOS界面。

在打开的“MSDOS”界面中，输入“arp -a”查看arp列表，其中如果存在多条与网关IP相对应的MAC地址时，表明局域网存在ARP攻击。

此外，我们还可以通过许多软件来检测局域网ARP攻击，例如“聚生网管”软件，直接在百度中搜索来获取下载地址。

运行“聚生网管”软件，在其主界面中点击“安全防御”-“安全检测工具”项进入。

在打开的“安全检测工具”界面中，点击“局域网攻击检测工具 开始检测”按钮。

并在弹出的窗口中点击“开始检测”按钮，并在弹出的窗口中点击“是”按钮，即可自动检测局域网中的攻击源并列表。

对于局域网ARP攻击，有效的防护措施是利用ARP绑定，将网关IP和其Mac地址进行绑定即可。这可以利用“360流量防火墙”来实现。或者利用“聚生网管”跌“安全防御”-》“IP和MAC绑定”项来实现。

受到Arp攻击怎么办？

安装金山arp防火墙。

然后下载WinArpAttacker反击。

杀毒软件可能会对这个软件报毒，跳过就可以了。

----------------------------------

WinArpAttacker3.5中文教学手册

今天我们来学习一下WinArpAttacker这个ARP攻击软件的使用方法。

WinArpAttacker的界面分为四块输出区域。

第一个区域：主机列表区，显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。

另外，还有一些ARP数据包和转发数据包统计信息，如

ArpSQ：是该机器的发送ARP请求包的个数

ArpSP：是该机器的发送回应包个数

ArpRQ：是该机器的接收请求包个数

ArpRQ：是该机器的接收回应包个数

Packets:是转发的数据包个数，这个信息在进行SPOOF时才有用。

Traffic：转发的流量，是K为单位，这个信息在进行SPOOF时才有用。

第二个区域是检测事件显示区，在这里显示检测到的主机状态变化和攻击事件。能够检测的事件列表请看英文说明文档。

主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。当你用鼠标在上面移动时，会显示对于该事件的说明。

第三个区域显示的是本机的ARP表中的项，这对于实时监控本机ARP表变化，防止别人进行SPOOF攻击是很有好处的。

第四个区域是信息显示区，主要显示软件运行时的一些输出，如果运行有错误，则都会从这里输出。

好，软件界面就讲到这里。

下面我们来说明一下几个重要功能。

一、扫描。

当点击“Scan”工具栏的图标时，软件会自动扫描局域网上的机器。并且显示在其中。

当点击“Scan checked"时，要求在机器列表中选定一些机器才扫描，目的是扫描这些选定机器的情况。

当点击"Advanced"时，会弹出一个扫描框。这个扫描框有三个扫描方式。

第一个是扫描一个主机，获得其MAC地址。

第二个方式是扫描一个网络范围，可以是一个C类地址，也可以是一个B类地址，建议不要用B类地址扫描，因为太费时间，对网络有些影响。

可设为本地的C类地址扫描，也可设为另一个C类地址，如192.168.0.1－254。也可以扫描成功。

第三个方式是多网段扫描，如果本机存在两个以上IP地址，就会出现两个子网选项。下面有两个选项，一个是正常扫描，扫描在不在线，另一个是反监听扫描，可以把

正在监听的机器扫描出来。

好，扫描功能就这些。下面我们讲攻击。

二、攻击

攻击功能有六个：

FLOOD：不间断的IP冲突攻击

BANGATEWAY：禁止上网

IPConflict：定时的IP冲突

SniffGateway：监听选定机器与网关的通讯

SniffHosts：监听选定的几台机器之间的通讯

SniffLan：监听整个网络任意机器之间的通讯，这个功能过于危险，可能会把整个网络搞乱，建议不要乱用。

所有的攻击在你觉得可以停止后都要点击STOP停止，否则将会一直进行。

FLOOD：选定机器，在攻击中选择FLOOD攻击，FLOOD攻击默认是一千次，你可以在选项中改变这个数值。

FLOOD攻击可使对方机器弹出IP冲突对话框，导致当机，因而要小心使用。

BANGATEWAY：选定机器，选择BANGATEWAY攻击。可使对方机器不能上网。

IPConflict：会使对方机器弹出IP冲突对话框。这次用本机来演示。

SniffGateway：监听对方机器的上网流量。发动攻击后用抓包软件来抓包看内容。我们可以看到Packets、

Traffic两个统计数据正在增加。我们现在已经可以看到对方机器的上网流量。

SniffHosts和SniffLan也类似，因而不再演示。

在选项中可以对攻击时间和行为进行控制。除了FLOOD是次数外，其他的都是持续的时间，如果是0则不停止。

下面的三个选项，一个是攻击后自动恢复ARP表，其他两个是为了保证被监听机器能正常上网因而要进行数据转发。建议都保持选择。

在检测事件列表中，我们刚才进行的攻击已经在检测事件列表中被检测出来。你在这里可以看到是否有人对你

进行攻击，以便采取措施。

好，攻击功能介绍到这里。

三、选项

Adapter是选择要绑定的网卡和IP地址，以及网关IP、MAC等信息。有时一个电脑中有许多网卡，你要选择正确的以太网网卡。

一个网卡也可以有多个IP地址，你要选择你要选择的那个IP地址。网关也是一样。

如果你在Gateway Mac中看到的是全0的MAC，那么可能没有正确获得网关MAC。你可以刷新一下来重新获得。

UPDATE是针对机器列表的更新来说的，其中有两个选项，

第一个是定时扫描网络来更新机器列表。

第二个是被动监听，从过往的数据包中获取新机器的信息。定时扫描可设定扫描间隔时间。

被动监听可以选择数据包类型，因为一些数据包可以是假的，因而获得的IP和MAC对可能是错误的。

所以要仔细选择。

DETECT第一个选项是说是不是要一运行就开始检测，第二个数据包个数是指每秒达到多少个数据包时才被认为是扫描，这个是与检测事件输出有关的。

第三个是在多少的时间内我们把许多相同的事件认为是一个事件，如扫描，扫描一个C网段时要扫描254个机器，会产生254个事件，当这些事件都在一定时间内

（默认是5分钟时，只输出一个扫描事件。）

ANALYSIS：只是一个保存数据包功能，供高级用户分析。

ARP代理：当你启用代理功能之后，这些选项才会有效。在Arp Packet Send Mode中，是要选择当谁发送ARP请求包时我要回应，

在Mac address中是要选定回应什么MAC地址，可以是本机、网关或者一个任意的MAC。

当局域网内的机器要访问其他机器或网关时，它会发出ARP请求询问包，如果你启用了该功能，软件就会自动回应你设定的MAC地址，因而你如果设的是错误的MAC，则许多机器可能都上不了网。

PROTECT：这是一个保护功能，当有人对你或者局域网内的机器进行ARP监听攻击时，它可以自动阻止。

其中有两个选项，一个是本机防护，防护本机不被SPOOF，第二是远程防护，也就是防护其它机器。不过估计第二个功能实现得不会好，因而SPOOF另外两机器时，

ARP包是不大可能到达本机的。但是本机防护还是较为实用。当你对本机进行禁止上网攻击时，软件能正确地检测到四个事件：

两个禁止访问事件，说0.0.0.0发送特别ARP包禁止本机和网关192.168.253.1通讯，第三个事件说一个IP－MAC对加入到本机ARP表中，且是错误的IP－MAC对，

最后一个事件说01-01-01-01-01-01已经被修改成正确的MAC:00-11-22-33-44-54，这就是PROTECT起作用了，软件根据机器列表中的MAC地址修改了ARP中的错误MAC。

下面的软件运行信息也证实了这一点。

四、手动发送ARP包

再讲一下手动发送ARP包的功能，这是给高级用户使用的，要对ARP包的结构比较熟悉才行。如果你知道ARP攻击原理，你可以在这里手工制作出任何攻击包。

按照以下步骤制作一个IP冲突包，冲突的对象是本机。

目标MAC是本机，源MAC可以是任意的MAC，目标IP和源IP都是本机IP，做完后发送试试。

如果操作正确你会看到IP冲突报警，软件也有检测出来，这是IP冲突包。

大家可以试试多种组合来测试一下，看看检测效果。

好了，WinArpAttacker的基本功能介绍就到这里，其他功能大家可以自己去试试，BYEBYE！

局域网遭到了arp攻击，一般的arp软件能到检测到，却不能够阻止，怎么解决？？

360安全卫士提示有arp攻击！很明显是由于内网中有终端中了arp病毒。arp攻击分为两种一种是欺骗内网客户端,即中arp病毒的这台主机以很高的频率向局域网中不断地发送错误的网关MAC-IP对应关系（向局域网中的其他主机发送广播说自己是网关）结果局域网中的其他主机将数据包都发向该中毒主机最终导致数据发送不出去而掉线；另一种是欺骗网关，即中毒的这台机器以高频率持续地向网关发送错误的内网客户端mac-ip对应关系以改变网关的arp表（告诉网关内网中的客户端的IP对应的MAC地址都为自己）导致内网发送到公网的数据在返回时都返回到中毒的这台主机上，最终导致内网的客户端无法接受公网返回的数据而显示掉线。

要想真正实现内网的安全管理光靠硬件设备和双向绑定是不可能实现的，只有通过将内网的普通网络提升为“免疫网络”才是王道，才能真正实现内网的安全可管理。欣向免疫墙路由器采用软硬件结合彻底解决因以太网底层协议漏洞出现的arp攻击等问题！！

免疫网络的主要理念就是自主防御和管理。

希望对你有帮助！！！