個人認為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。

1ARP掃描（ARP請求風(fēng)暴）

通訊模式（可能）：

請求->請求->請求->請求->請求->請求->應(yīng)答->請求->請求->請求...

描述：

網(wǎng)絡(luò)中出現(xiàn)大量ARP請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機進行掃描。大量的ARP請求廣播可能會占用網(wǎng)絡(luò)帶寬資源；ARP掃描一般為ARP攻擊的前奏。

出現(xiàn)原因（可能）：

*病毒程序，偵聽程序，掃描程序。

*如果網(wǎng)絡(luò)分析軟件部署正確，可能是我們只鏡像了交換機上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機發(fā)出的。

*如果部署不正確，這些ARP請求廣播包是來自和交換機相連的其它主機。

2ARP欺騙

ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。所以在網(wǎng)絡(luò)中，有人發(fā)送一個自己偽造的ARP應(yīng)答，網(wǎng)絡(luò)可能就會出現(xiàn)問題。這可能就是協(xié)議設(shè)計者當(dāng)初沒考慮到的！

2.1欺騙原理

假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：

A的地址為：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址為：IP：MAC:BB-BB-BB-BB-BB-BB

C的地址為：IP：MAC:CC-CC-CC-CC-CC-CC

正常情況下A和C之間進行通訊，但是此時B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA），當(dāng)C收到B偽造的ARP應(yīng)答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。

注意：一般情況下，ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。

2.2兩種情況

ARP欺騙存在兩種情況：一種是欺騙主機作為“中間人”，被欺騙主機的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數(shù)據(jù)；另一種讓被欺騙主機直接斷網(wǎng)。

第一種：竊取數(shù)據(jù)（嗅探）

通訊模式：

應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請求->應(yīng)答->應(yīng)答->請求->應(yīng)答...

描述：

這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發(fā)送大量偽造的ARP應(yīng)答包進行欺騙，當(dāng)通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽”了。

出現(xiàn)原因（可能）：

*木馬病毒

*嗅探

*人為欺騙

第二種：導(dǎo)致斷網(wǎng)

通訊模式：

應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請求…

描述：

這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進行欺騙，這樣A實質(zhì)上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。

對于偽造地址進行的欺騙，在排查上比較有難度，這里最好是借用TAP設(shè)備（呵呵，這個東東好像有點貴勒），分別捕獲單向數(shù)據(jù)流進行分析！

出現(xiàn)原因（可能）：

*木馬病毒

*人為破壞

*一些網(wǎng)管軟件的控制功能ARP的處理方法前言:今年算是ARP和LOGO1病毒對網(wǎng)吧的危害最大,在前期我們一般采用雙向梆定的方法即可解決

但是ARP變種

出現(xiàn)日期大概在10月份,大家也許還在為網(wǎng)關(guān)掉線還以為是電信的問題還煩惱吧,其實不然

變種過程ARP病毒-變種OK病毒-變種TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C

現(xiàn)在的這個ARP變種病毒更是厲害,我把自己遇到過的情況說給大家聽聽,如果大家有這些情況,不好意思“恭喜你”

你中大獎了,呵呵~~

病毒發(fā)作情況:現(xiàn)在的ARP變種

不是攻擊客戶機的MAC地址攻擊路由內(nèi)網(wǎng)網(wǎng)關(guān),改變了它的原理,這點實在佩服

直接攻擊您的路由的什么地址你知道嗎?哈哈~~猜猜吧~~不賣關(guān)了~~新的變種ARP直接攻擊您路由的MAC地址和外網(wǎng)網(wǎng)關(guān)

而且直接就把綁定IP與MAC的批處理文件禁用了。一會兒全掉線,一會兒是幾臺幾臺的掉線。而且

中了ARP的電腦會把那臺電腦轉(zhuǎn)變成內(nèi)網(wǎng)的代理服務(wù)器進行盜號和發(fā)動攻擊。如果大家發(fā)現(xiàn)中了ARP沒有掉線,那說明你

中了最新的變種,你只要重啟了那臺中了ARP病毒的電腦,那么受到ARP攻擊的機子就會全部掉線

內(nèi)網(wǎng)的網(wǎng)關(guān)不掉包,而外網(wǎng)的IP和DNS狂掉,這點也是ARP變種的出現(xiàn)的情況,請大家留意。

我在最后會公布解決的案例和相關(guān)補丁,請大家看完全文可能對你有幫助哦,不要急著下~呵呵~

該病毒發(fā)作時候的特征為,中毒的機器會偽造某臺電腦的MAC地址,如該偽造地址為網(wǎng)關(guān)服務(wù)器的地址,那么對整個網(wǎng)吧均會造成影響,用戶表現(xiàn)為上網(wǎng)經(jīng)常瞬斷。

一、在任意客戶機上進入命令提示符(或MS-DOS方式),用arp

–a命令查看:

C:\WINNT\system32>arp

-a

Interface:

93

on

Interface

0x1000003

Internet

Address

Physical

Address

Type

00-50-da-8a-62-2c

dynamic

3

00-11-2f-43-81-8b

dynamic

4

00-50-da-8a-62-2c

dynamic

5

00-05-5d-ff-a8-87

dynamic

00

00-50-ba-fa-59-fe

dynamic

可以看到有兩個機器的MAC地址相同,那么實際檢查結(jié)果為

00-50-da-8a-62-2c為4的MAC地址,的實際MAC地址為00-02-ba-0b-04-32,我們可以判定4實際上為有病毒的機器,它偽造了的MAC地址。

二、在4上進入命令提示符(或MS-DOS方式),用arp

–a命令查看:

C:\WINNT\system32>arp

-a

Interface:

4

on

Interface

0x1000003

Internet

Address

Physical

Address

Type

00-02-ba-0b-04-32

dynamic

3

00-11-2f-43-81-8b

dynamic

5

00-05-5d-ff-a8-87

dynamic

93

00-11-2f-b2-9d-17

dynamic

00

00-50-ba-fa-59-fe

dynamic

可以看到帶病毒的機器上顯示的MAC地址是正確的,而且該機運行速度緩慢,應(yīng)該為所有流量在二層通過該機進行轉(zhuǎn)發(fā)而導(dǎo)致,該機重啟后網(wǎng)吧內(nèi)所有電腦都不能上網(wǎng),只有等arp刷新MAC地址后才正常,一般在2、3分鐘左右。

三、如果主機可以進入dos窗口,用arp

–a命令可以看到類似下面的現(xiàn)象:

C:\WINNT\system32>arp

-a

Interface:

on

Interface

0x1000004

Internet

Address

Physical

Address

Type

3

00-50-da-8a-62-2c

dynamic

4

00-50-da-8a-62-2c

dynamic

5

00-50-da-8a-62-2c

dynamic

93

00-50-da-8a-62-2c

dynamic

00

00-50-da-8a-62-2c

dynamic

該病毒不發(fā)作的時候,在代理服務(wù)器上看到的地址情況如下:

C:\WINNT\system32>arp

-a

Interface:

on

Interface

0x1000004

Internet

Address

Physical

Address

Type

3

00-11-2f-43-81-8b

dynamic

4

00-50-da-8a-62-2c

dynamic

5

00-05-5d-ff-a8-87

dynamic

93

00-11-2f-b2-9d-17

dynamic

00

00-50-ba-fa-59-fe

dynamic

病毒發(fā)作的時候,可以看到所有的ip地址的mac地址被修改為00-50-da-8a-62-2c,正常的時候可以看到MAC地址均不會相同。

成功就是潛意識的等待-學(xué)無止境!至弱即為至強

一步一步按步驟操作

解決辦法一:

一、采用客戶機及網(wǎng)關(guān)服務(wù)器上進行靜態(tài)ARP綁定的辦法來解決。

1.

在所有的客戶端機器上做網(wǎng)關(guān)服務(wù)器的ARP靜態(tài)綁定。

首先在網(wǎng)關(guān)服務(wù)器(代理主機)的電腦上查看本機MAC地址

C:\WINNT\system32>ipconfig

/all

Ethernet

adapter

本地連接

2:

Connection-specific

DNS

Suffix

.

:

Description

.

.

.

.

.

.

.

.

.

.

.

:

Intel?

PRO/100B

PCI

Adapter

(TX)

Physical

Address.

.

.

.

.

.

.

.

.

:

00-02-ba-0b-04-32

Dhcp

Enabled.

.

.

.

.

.

.

.

.

.

.

:

No

IP

Address.

.

.

.

.

.

.

.

.

.

.

.

:

Subnet

Mask

.

.

.

.

.

.

.

.

.

.

.

:

然后在客戶機器的DOS命令下做ARP的靜態(tài)綁定

C:\WINNT\system32>arp

–s

00-02-ba-0b-04-32

注:如有條件,建議在客戶機上做所有其他客戶機的IP和MAC地址綁定。

2.

在網(wǎng)關(guān)服務(wù)器(代理主機)的電腦上做客戶機器的ARP靜態(tài)綁定

首先在所有的客戶端機器上查看IP和MAC地址,命令如上。

然后在代理主機上做所有客戶端服務(wù)器的ARP靜態(tài)綁定。如:

C:\winnt\system32>

arp

–s

3

00-11-2f-43-81-8b

C:\winnt\system32>

arp

–s

4

00-50-da-8a-62-2c

C:\winnt\system32>

arp

–s

5

00-05-5d-ff-a8-87

。。。。。。。。。

3.

以上ARP的靜態(tài)綁定最后做成一個windows自啟動文件,讓電腦一啟動就執(zhí)行以上操作,保證配置不丟失。

二、有條件的網(wǎng)吧可以在交換機內(nèi)進行IP地址與MAC地址綁定

三、IP和MAC進行綁定后,更換網(wǎng)卡需要重新綁定,因此建議在客戶機安裝殺毒軟件來解決此類問題:該網(wǎng)吧發(fā)現(xiàn)的病毒是變速齒輪2.04B中帶的,病毒程序在

/list/3007.html

可下載到:

解決方法二:

1:在網(wǎng)關(guān)路由上對客戶機使用靜態(tài)MAC綁定。ROUTE

OS軟路由的用戶可以參照相關(guān)教程,或是在IP--->ARP列表中一一選中對應(yīng)項目單擊右鍵選擇“MAKE

STATIC”命令,創(chuàng)建靜態(tài)對應(yīng)項。

用防火墻封堵常見病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129

以及P2P下載

2:在客戶機上進行網(wǎng)關(guān)IP及其MAC靜態(tài)綁定,并修改導(dǎo)入如下注冊表:

(A)禁止ICMP重定向報文

ICMP的重定向報文控制著Windows是否會改變路由表從而響應(yīng)網(wǎng)絡(luò)設(shè)備發(fā)送給它的ICMP重定向消息,這樣雖然方便了用戶,但是有時也會被他人利用來進行網(wǎng)絡(luò)攻擊,這對于一個計算機網(wǎng)絡(luò)管理員來說是一件非常麻煩的事情。通過修改注冊表可禁止響應(yīng)ICMP的重定向報文,從而使網(wǎng)絡(luò)更為安全。

修改的方法是:打開注冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側(cè)窗口中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改為0(0為禁止ICMP的重定向報文)即可。

(B)禁止響應(yīng)ICMP路由通告報文

“ICMP路由公告”功能可以使他人的計算機的網(wǎng)絡(luò)連接異常、數(shù)據(jù)被竊聽、計算機被用于流量攻擊等,因此建議關(guān)閉響應(yīng)ICMP路由通告報文。

修改的方法是:打開注冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側(cè)窗口中將子鍵“PerformRouterDiscovery”REG_DWORD型的值修改為0(0為禁止響應(yīng)ICMP路由通告報文,2為允許響應(yīng)ICMP路由通告報文)。修改完成后退出注冊表編輯器,重新啟動計算機即可。

(C)設(shè)置arp緩存老化時間設(shè)置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLifeREG_DWORD

0-0xFFFFFFFF(秒數(shù),默認值為120秒)

ArpCacheMinReferencedLifeREG_DWORD

0-0xFFFFFFFF(秒數(shù),默認值為600)

說明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,則引用或未引用的ARP

緩存項在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,

未引用項在ArpCacheLife秒后到期,而引用項在ArpCacheMinReferencedLife秒后到期.

每次將出站數(shù)據(jù)包發(fā)送到項的IP地址時,就會引用ARP緩存中的項。

曾經(jīng)看見有人說過,只要保持IP-MAC緩存不被更新,就可以保持正確的ARP協(xié)議運行。關(guān)于此點,我想可不可以通過,修改注冊表相關(guān)鍵值達到:

默認情況下ARP緩存的超時時限是兩分鐘,你可以在注冊表中進行修改。可以修改的鍵值有兩個,都位于

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

修改的鍵值:

鍵值1:ArpCacheLife,類型為Dword,單位為秒,默認值為120

鍵值2:ArpCacheMinReferencedLife,類型為Dword,單位為秒,默認值為600

注意:這些鍵值默認是不存在的,如果你想修改,必須自行創(chuàng)建;修改后重啟計算機后生效。

如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那么ARP緩存的超時時間設(shè)置為ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那么對于未使用的ARP緩存,超時時間設(shè)置為120秒;對于正在使用的ARP緩存,超時時間則設(shè)置為ArpCacheMinReferencedLife的值。

我們也許可以將上述鍵值設(shè)置為非常大,不被強制更新ARP緩存。為了防止病毒自己修改注冊表,可以對注冊表加以限制。

對于小網(wǎng)吧,只要事先在沒遇到ARP攻擊前,通過任意一個IP-MAC地址查看工具,紀錄所有機器的正確IP-MAC地址。等到受到攻擊可以查看哪臺機器出現(xiàn)問題,然后通常是暴力解決,問題也許不是很嚴重。但是對于內(nèi)網(wǎng)電腦數(shù)量過大,每臺機器都幫定所有IP-MAC地址,工作量非常巨大,必須通過專門軟件執(zhí)行。

解決辦法三:

刪除system32\npptools.dll,我維護的網(wǎng)吧那里刪除了一個月了,從來沒中過ARP病毒,也無任何不良反映,ARP病毒缺少了npptools.dll這個文件根本不能運行,目前所發(fā)現(xiàn)的ARP病毒通通提示npptools.dll出錯,無法運行

暫時還沒發(fā)現(xiàn)可以自動生成npptools.dll的病毒,npptools.dll本身就40多K,病毒如果還要生成自己的運行庫的話,不是幾十K的大小就可以辦到的,再大一些的就不是病毒了

當(dāng)然,還是要做ARP

-S綁定,只綁定本機自身跟路由即可,可以在“一定程度上”減少ARP程序的破壞

刪除不了同志,麻煩您先關(guān)閉文件保護,最簡單的方法就是用XPLITE來關(guān)閉,網(wǎng)上一搜一大把的

另外再次聲明,這個方法只對ARP病毒生效,對惡意軟件只是小部分有效的

特別提醒一點:不要忘記了梆定外網(wǎng)網(wǎng)關(guān)和MAC,下面我舉個例子吧

IP:0

子網(wǎng)掩碼:55

網(wǎng)關(guān):[一定要綁定這個網(wǎng)關(guān)地址和MAC]

DNS:22

備用DNS:21

個人推薦安全工具及補丁:

個人認為這點TP-LINK480T的路由做的非常好,具體請看本站的對于TP-LINK480T的路由介紹

小網(wǎng)吧使用TP-LINK480T的請升級最新版本,本站有下載

使用思科和華為的請綁定網(wǎng)關(guān)地址和MACARP攻擊原理及解決方法【故障原因】局域網(wǎng)內(nèi)有人使用ARP欺騙的木馬程序（比如：傳奇盜號的軟件，某些傳奇外掛中也被惡意加載了此程序）。【故障原理】要了解故障原理，我們先來了解一下ARP協(xié)議。在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標(biāo)主機的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進行。每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下表所示。主機IP地址MAC地址Aaa-aa-aa-aa-aa-aaBbb-bb-bb-bb-bb-bbCcc-cc-cc-cc-cc-ccDdd-dd-dd-dd-dd-dd我們以主機A（）向主機B（）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機A就會在網(wǎng)絡(luò)上發(fā)送一個廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“的MAC地址是什么？”網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應(yīng)：“的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內(nèi)如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。從上面可以看出，ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標(biāo)A進行欺騙，A去Ping主機C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。A對這個變化一點都沒有意識到，但是接下來的事情就讓A產(chǎn)生了懷疑。因為A和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。做“maninthemiddle”，進行ARP重定向。打開D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個路由器一樣。不過，假如D發(fā)送ICMP重定向的話就中斷了整個計劃。D直接進行整個包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認為是從A發(fā)送來的。不過，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進行對C的ARP欺騙?，F(xiàn)在D就完全成為A與C的中間橋梁了，對于A和C之間的通訊就可以了如指掌了?！竟收犀F(xiàn)象】當(dāng)局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。切換到病毒主機上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機就可以盜號了。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線?！綡iPER用戶快速發(fā)現(xiàn)ARP欺騙木馬】在路由器的“系統(tǒng)歷史記錄”中看到大量如下的信息（440以后的路由器軟件版本中才有此提示）：MACChged24MACOld00:01:6c:36:d1:7fMACNew00:05:5d:60:c7:18這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運行的時候，局域網(wǎng)所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MACNew地址都一致為病毒主機的MAC地址），同時在路由器的“用戶統(tǒng)計”中看到所有用戶的MAC地址信息都一樣。如果是在路由器的“系統(tǒng)歷史記錄”中看到大量MACOld地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙（ARP欺騙的木馬程序停止運行時，主機在路由器上恢復(fù)其真實的MAC地址）。【在局域網(wǎng)內(nèi)查找病毒主機】在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN（下載地址：/Software/catalog21/339.html）工具來快速查找它。NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有”傳奇木馬”在做怪，可以找到裝有木馬的PC的IP/和MAC地址。命令：“nbtscan-r/24”（搜索整個/24網(wǎng)段,即-54）；或“nbtscan5-137”搜索5-137網(wǎng)段，即5-37。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。NBTSCAN的使用范例：假設(shè)查找一臺MAC地址為“000d870d585f”的病毒主機。1）將壓縮包中的nbtscan.exe和cygwin1.dll解壓縮放到c:/下。2）在Windows開始—運行—打開，輸入cmd（windows98輸入“command”），在出現(xiàn)的DOS窗口中輸入：C:/nbtscan-r/24（這里需要根據(jù)用戶實際網(wǎng)段輸入），回車。C:/DocumentsandSettings/ALAN>C:/nbtscan-r/24Warning:-roptionnotsupportedunderWindows.Runningwithoutit.DoingNBTnamescanforaddressesfrom/24IPaddressNetBIOSNameServerUserMACaddress-----------------------------------------