arp病毒藏在電腦的哪個位置

Ⅰ ARP病毒在電腦里的什麼地方

ARP病毒
傳奇外掛攜帶的ARP木馬攻擊,當區域網內使用外掛時，外掛攜帶的病毒會將該機器的MAC地址映射到網關的IP地址上，向區域網內大量發送ARP包，致同一網段地址內的其它機器誤將其作為網關，掉線時內網是互通的，計算機卻不能上網。方法是在能上網時，進入MS-DOS窗口，輸入命令：arp –a查看網關IP對應的正確MAC地址，將其記錄，如果已不能上網，則先運行一次命令arp –d將arp緩存中的內容刪空，計算機可暫時恢復上網，一旦能上網就立即將網路斷掉，禁用網卡或拔掉網線，再運行arp –a。
如已有網關的正確MAC地址，在不能上網時，手工將網關IP和正確MAC綁定，可確保計算機不再被攻擊影響。可在MS-DOS窗口下運行以下命令：arp –s 網關IP 網關MAC。如被攻擊，用該命令查看，會發現該MAC已經被替換成攻擊機器的MAC，將該MAC記錄，以備查找。找出病毒計算機：如果已有病毒計算機的MAC地址，可使用NBTSCAN軟體找出網段內與該MAC地址對應的IP，即病毒計算機的IP地址。

〇故障原因

主要原因是在區域網中有人使用了ARP欺騙的木馬程序,比如一些盜號的軟體。

〇故障現象

當區域網內有某台電腦運行了此類ARP欺騙的木馬的時候，其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。

切換到病毒主機上網後，如果用戶已經登陸了傳奇伺服器，那麼病毒主機就會經常偽造斷線的假像，那麼用戶就得重新登錄傳奇伺服器，這樣病毒主機就可以盜號了。

由於ARP欺騙的木馬發作的時候會發出大量的數據包導致區域網通訊擁塞，用戶會感覺上網速度越來越慢。當木馬程序停止運行時，用戶會恢復從路由器上網，切換中用戶會再斷一次線。

〇解決思路

不要把你的網路安全信任關系建立在IP基礎上或MAC基礎上。
設置靜態的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。
除非必要，否則停止ARP使用，把ARP做為永久條目保存在對應表中。
使用ARP伺服器。確保這台ARP伺服器不被黑。
使用"proxy"代理IP傳輸。
使用硬體屏蔽主機。
定期用響應的IP包中獲得一個rarp請求，檢查ARP響應的真實性。
定期輪詢，檢查主機上的ARP緩存。
使用防火牆連續監控網路。
〇解決方案

建議採用雙向綁定解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址

首先，獲得路由器的內網的MAC地址（例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa區域網埠MAC地址>）。
編寫一個批處理文件rarp.bat內容如下：
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa

將網關IP和MAC更改為您自己的網關IP和MAC即可，讓這個文件開機運行(拖到「開始-程序-啟動」)。

ARP攻擊時的主要現象：
1、網上銀行、游戲及QQ賬號的頻繁丟失
一些人為了獲取非法利益，利用ARP欺騙程序在網內進行非法活動，此類程序的主要目的在於破解賬號登陸時的加密解密演算法，通 過截取區域網中的數據包，然後以分析數據通訊協議的方法截獲用戶的信息。運行這類木馬病毒，就可以獲得整個區域網中上網用 戶賬號的詳細信息並盜取。
2、網速時快時慢，極其不穩定，但單機進行光纖數據測試時一切正常
當局域內的某台計算機被ARP的欺騙程序非法侵入後，它就會持續地向網內所有的計算機及網路設備發送大量的非法ARP欺騙數據包， 阻塞網路通道，造成網路設備的承載過重，導致網路的通訊質量不穩定。
3、區域網內頻繁性區域或整體掉線，重啟計算機或網路設備後恢復正常
當帶有ARP欺騙程序的計算機在網內進行通訊時，就會導致頻繁掉線，出現此類問題後重啟計算機或禁用網卡會暫時解決問題，但掉 線情況還會發生。

Ⅱ ARP病毒怎麼樣在電腦中查找

"1、先確定故障網段的VLAN 、網關和IP地址等信息；
2、登陸網關交換機（一定要網關交換機，不然是沒有ARP表。）
3、通過dis log命令查看日誌，如果有病毒一般會有告警（但是也未必所有的都有）。
4、如果日誌里沒有信息顯示信息，就需要查看交換機的ARP地址表。通過dis arp | in VLAN號，如dis arp | in 909。
5、用以上兩種方法可以輕松的判斷哪個MAC地址中毒，但是無法確定IP地址。要想確定IP地址是多少比較困難。需要依賴360安全衛士等軟體和日常的IP和MAC記錄表等工具來判斷。
6、如果以上工具都沒有的話，就只能先登陸到相應的二層交換機（一定要注意，是二層接入交換機）。通過查看MAC地址和埠的對應表，以此來判斷是哪個埠。
7、為了暫時恢復網路，可以先關閉交換機的GigabitEthernet1/0/5口。如下：
< Huawei>sys
System View: return to User View with Ctrl+Z.
[Huawei]int g 4/1/5
[Huawei-GigabitEthernet4/1/5]shutdown
8、再登陸到網關交換機，把相應VLAN重新啟動以下，如下：
[Huawei8508_1]int Vlan-interface 909
[Huawei8508_1-Vlan-interface909]shutdown
[Huawei8508_1-Vlan-interface909]undo shutdown
9、這樣就可以恢復網路的正常運行，至於那個中毒的機器的處理。需要用戶自己處理。建議直接重裝系統，並馬上安裝補丁、殺毒軟體、360安全衛士等工具。避免重復中毒。這個非常重要，因為重復中毒的可能性非常大。"