arp问题解决方案

2022-07-31

方案的制定能最大程度的减少活动过程中的盲目性，保证各项事宜的有序开展，那么方案改如何进行书写呢？以下是小编收集整理的《arp问题解决方案》的文章，希望能够很好的帮助到大家，谢谢大家对小编的支持和鼓励。

第一篇：arp问题解决方案

校园网ARP欺骗攻击分析及解决办法

张志刚

(作者单位：浙江省开化县实验小学邮编：324300)

摘要：ARP攻击是当前校园网遇到的一个非常典型的安全威胁，受到ARP攻击后轻者校园网会出现大面积掉线，重者会窃取用户密码。目前，网上有关ARP资料较多，但作者发现：网上资料虽多但大多逻辑性和指导性均不强，甚至有一些还自相矛盾，不能自圆其说。该文来自于一线网管员的工作实践，具有较强的针对性和操作性。

关键词：校园网、ARP、原理、方法正文：

ARP攻击是当前校园网遇到的一个非常典型的安全威胁，受到ARP攻击后校园网内各终端电脑会出现大面积掉线、ARP包爆增、拷贝文件无法完成，出现错误、无法ping通网关，但重启机器后又可恢复上网等情况。欺骗木马发作时还会窃取用户密码，如盗取QQ密码、盗取各种网络游戏密码和账号，盗窃网上银行账号来做非法交易活动等。在08年的暑期,我县的教育城域网就爆发了一次较大的ARP攻击事件，前后持续时间近一个月，给全县教育系统的暑期办公培训及新学期的准备工作带来了较大的影响，攻击源来自于乡下某学校的一台老师忘记关机并感染了ARP病毒的的办公电脑。

作为一名学校的网管员，在与多起ARP欺骗攻击的的斗争过程中，对ARP病毒相关基础知识、危害认识也越来越深刻，对如何在校园网内及时发现、有效防范查杀攻击源的具体处理上也有了一定的心得，现作一整理，供兄弟学校的各网管员们参考借鉴。

1.要了解APR病毒需先掌握的几个概念 1.1：IP地址

IP地址是出现频率非常高的词。它类似于电话通迅中的电话号码，在我们的校园网中，为了区别每一台不同的计算机，我们需要给每一台计算机都配臵一个号码，这个号码我们就将它叫做IP地址，有了这个IP地址我们在利用网络进行上网、传递文件，进行局域网聊天时才不会将发送给A计算机的信息错发到其

它的计算机上。一般情况下，在校园网内一台计算机只分配一个IP地址，IP地址采用十进制数字表示,如192.168.0.25。 1.2、MAC地址：

在现实生活中，我们每个人由于工作等原因会经常的搬家，每台计算机的IP地址在使用中就会发生变化。IP地址发生变化了，为什么不会影响我们在网上收发信息呢?这主要是因为我们计算机的网卡MAC地址是不发生变化的。MAC地址也叫物理地址，它类似于我们每个人的身份证，是全球唯一的，只要MAC地址这个计算机的身份证存在，我们在全球庞大的计算机网络中就总能找到自已的这台计算机。MAC地址的长度为48位(6个字节)，通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：00:0F:E2:70:70:BC。XP系统环境下本机的IP与MAC地址信息我们可以执行IPCONFIG –ALL命令进行查询。 1.3、ARP(Address Resolution Protocol：地址解析协议)

不管是在校园局域网中还是在广域网中，数据信息要从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。如果仅仅依靠IP地址去传递信息是要发生错误的，因为IP地址是要发生变化的，在某些时候我们就需要将IP地址与MAC地址进行捆定，保证网络中信息传递的准确性，完成这个功能的就是ARP地址解析协议。网络中的每台电脑，它都会收集网络上的各台计算机的IP地址与MAC地址信息，将它储存在一个叫“ARP缓存表”的地方，当机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到，则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa)，请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。

2.ARP欺骗的原理分析

为便于阐述，在这我们假设有一个有三台计算机甲、乙、丙组成的局域网，其中甲感染了ARP木马病毒。正常情况下，甲的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA，乙的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB ，丙的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC。当计算机甲上运行了

ARP欺骗程序，向乙或丙发送了ARP欺骗包后，基于乙、丙对甲的完全信任关系，乙或丙计算机会自动更新本地的ARP缓存，将错误的IP与MAC地址信息替代了正确的信息对应表，这样当然也就不能保证乙、丙两台计算机能顺畅地对外通讯了。在校园网中，问题会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了

3.校园网ARP病毒的预防措施及感染后的分析及处理 3.1、校园网ARP病毒的五条预防措施：

措施

1、及时升级客户端的操作系统和应用程序补丁。措施

2、安装和更新杀毒软件及ARP专用防火墙。

措施

3、如果网络规模较小，尽量使用手动指定IP设臵，而不是使用DHCP来分配IP地址。

措施

4、如果交换机或路由器支持，在交换机或路由器上绑定MAC地址与IP地址。

措施

5、在校园网正常运行时，备份一份网关与知终端的IP地址与MAC地址正常对应表，最好包含计算机名信息。现今学校一般都通过路由器上网，两地址信息均可在路由器的WEB设臵页面中找到，也可以使用网上常见的一些专业MAC地址扫描工具得到正确的地址信息。 3.2、ARP病毒感染后的分析及处理

校园网如果还是不幸中招，出现本文第一段所说的那些症状时，我们首先应该判断是否为ARP病毒的原因，点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。如果计算机安装有ARP防火墙的话，也会在屏幕的右下角跳出报警信息，当确诊为ARP病毒是时，我们可以采取以下方法进行校园网的修复处理。

第一步：首先保证网络正常运行。在桌面上新建一个名为ARP文本文件，用

记事本写下：

@echo off arp -d

arp -s 网关IP MAC地址

保存后将记事本后缀名改名BAT(批处理文件)。将这个批处理文件发送给各计算机端，当遭受ARP攻击时，将它执行一遍，重新绑定网关的IP-MAC地址信息后就OK了。

第二步：找到感染ARP病毒的机器。

第一种判断方法:如果在你的周围有多台电脑均不能正常上网，出现时常掉线的情况，而你的电脑却安然无恙，数据通信正常，请不要沾沾自喜，这说明你的机器已经中了arp病毒，需要及时断网杀毒。

第二种判断方法:使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。如图1，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.54的这个IP，则可以断定192.168.0.54这台主机就是病毒源。一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.54)既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三种判断方法:在故障机上使用ARP -a的命令看得到的网关对应的MAC地址是否与网关真实地址相符，如不符，可去查找与该MAC地址对应的电脑。

第四种判断方法:使用ARP防火墙(例如360ARP防火墙)软件，360ARP防火墙拦截到外部ARP攻击后，可通过拦截界面“追踪攻击源IP”来精准定位局域网内攻击源，方便网管及时查询局域网内攻击源，及时解决问题。

第三步：在学校路由器的WEB页面上网过滤功能设臵中暂时停止病毒源主机的上网行为。考虑到校园网的各终端主机来源比较复杂，有一些来自于老师的笔记本电脑，有时根据MAC地址很难确定是某位老师的电脑，我们可以利用路由器

的MAC地址过滤功能暂停该机的上网功能，待确定计算机主人后再通知其使用ARP专杀工具查杀病毒。这样就保证了校园网的健康运行。目前的路由器一般都有“上网黑白名单”的功能设臵，操作也较简单。

以上的分析查杀过程，在配备简陋的学校校园网内均可实现，基本上可以将ARP病毒的危害降至最低。目前市场上很多的路由器厂商专门推出一些具有ARP病毒防护功能的路由器，它可以在路由器端绑定IP与MAC地址正确信息并按一定频率向网络广播，该种路由器再配合客户端的双向绑定，在ARP的防治上效果非常不错，能还你一个波澜不惊、风平浪静的校园网环境，值得一试!但有些ARP防火墙会将路由器的广播视作是ARP攻击。配备一个功能强大的路由器不仅对ARP的防治有较好的效果，网管员们如仔细分析利用好路由器的系统运行信息，对其它网络病毒的防治诊断也有很好的帮助作用。

台上一分钟，台下十年功，校园网网管员平时的工作默默无闻，网络病毒将我们推上了表演的前台，我们网管员们要想立于不败之地，实现自身价值，一个重要的前提就是平时要做好校园网基本信息知识的积累整理工作，练好内功，加强软实力，这样才能在校园网的一些突发事件面前，做到从容不迫、大将风度。

。

第二篇：计算机网络应用ARP协议

地址解析协议(Address Resolution Protocol，ARP)是一种能够实现IP地址到物理地址转化的协议。在计算机网络中，通过物理地址来识别网络上的各个主机，IP地址只是以符号地址的形式对目的主机进行编址。通过ARP协议将网络传输的数据报目的IP地址进行解析，将其转化为目的主机的物理地址，数据报才能够被目的主机正确接收。

实现IP地址到物理地址的映射在网络数据传输中是非常重要的，任何一次从互联网层及互联网层以上层发起的数据传输都使用IP地址，一旦使用IP地址，必须涉及IP地址到物理地址的映射，否则网络将不能识别地址信息，无法进行数据传输。

IP地址到物理地址的映射包括表格方式和非表格方式两种。其中，表格方式是事先在各主机中建立一张IP地址、物理地址映射表。这种方式很简单，但是映射表需要人工建立及人工维护，由于人工建立维护比较麻烦，并且速度较慢，因此该方式不适应大规模和长距离网络或映射关系变化频繁的网络。而非表格方式采用全自动技术，地址映射完全由设备自动完成。根据物理地址类型的不同，非表格方式有分为直接映射和动态联编两种方式。

1.直接映射

物理地址分为固定物理地址和可自由配置的物理地址两类，对于可自由配置的物理地址，经过配置后，可以将其编入IP地址码中，这样物理地址的解析就变的非常简单，即将它从IP地址的主机号部分取出来便是，这种方式就是直接映射。直接映射方式比较简单，但适用范围有限，当IP地址中主机号部分不能容纳物理地址时，这种方式将失去作用。另外，以太网的物理地址都是固定的，一旦网络接口更改，物理地址也随之改变，采用直接映射将会出现问题。

2.动态联编

由于以太网具有广播能力和物理地址是固定的特点，通常使用动态联编方式来进行IP地址到物理地址的解析。动态联编ARP方式的原理是，在广播型网络中，一台计算机A欲解析另一台计算机B的IP地址，计算机A首先广播一个ARP请求报文，请求计算机B回答其物理地址。网络上所有主机都将接收到该ARP请求，但只有计算机B识别出自己的IP地址，并做出应答，向计算机A发回一个ARP响应，回答自己的物理地址。

为提高地址解析效率，ARP使用了高速缓存技术，即在每台使用ARP的主机中，都保留一个专用的高速缓存，存放最近获得的IP地址-物理地址联编信息。当收到ARP应答报文时，主机就将信宿机的IP地址和物理地址存入缓存。在发送报文时，首先在缓存中查找相应的地址联编信息，若不存在相应的地址联编信息，再利用ARP进行地址解析。这样不必每发一个报文都进行动态联编，提高地址解析效率，从而使网络性能得到提高。

另外，还有一种在无盘工作站中常用的反向地址解析协议(RARP)，它可以实现物理地址到IP地址的转换。在无盘工作站启动时，首先以广播方式发出RARP请求，网络上的RARP服务器会根据RARP请求中的物理地址为该工作站分配一个IP地址，生成一个RARP响应报文发送回去。然后，无盘工作站接收到RARP响应报文，便获得自己的IP地址，就能够和服务器进行通信。

第三篇：ARP攻击自查协议书[小编推荐]

ARP攻击自查协议书

兹于四号宿管站C19一单元ARP攻击较为严重，为便于较早的制止攻击且最大程度的减小消极影响，单元成员决定采取自查。

自查条件：

1. QQ管家、360等杀毒软件，彩影等反ARP软件截得ARP攻击每分钟50次以上。

2.出现客户端在1小时内登录不上，或客户端登录上立刻就自行掉线的情况。

3.学校内网无法登陆

除学校硬件设施损坏导致网络故障，或暂停校园网除外。满足以上三个条件方可实行。

自查人员：单元内每个专业(或班级)至少派出一名代表参与自查。

单元人员签字：公证人签字：

第四篇：中小学局域网应对ARP病毒攻击的措施

网络安全工作总结

付正林

随着社会的发展，信息技术对教育教学的影响越来越广，越来越多的学校与教师对网络依赖也越来越大;而对中小学校园内局域要求也是一天比一天高。但现在ARP病毒攻击成为局域网杀手，造成校园网络无法正常使用。ARP病毒攻击，以成各中小学校网络管理员公认为最头痛的事。而各中小学网络管理员如何面对ARP病毒攻击呢?

ARP与ARP病毒简介

ARP全称：Address Resolution Protocol 地址解析协议。ARP的作用：实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。(物理地址即网络中的MAC地址，也就是全世界所有网卡中的唯一标识代码)

ARP病毒：就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP病毒攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马病毒，则感染该ARP木马病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

遭受ARP攻击后现象：ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等，不能上网的现象(无法ping通网关)，重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网，严重者跟本无法正常连接网络。

应对中小学校园网内ARP病毒攻击的思考

现在各中小学普遍存在ARP病毒攻击的原因有如下几个方面：第一网络安全设备配置不齐全，使校园内网络结构比较简单;第二中小学的网络管理员绝大部分是电脑教师兼职，专业水平与发展方向出现偏差;第三使用者——教师使用电脑与网络的不正确或者说不规范，比如在不在安全的网站下载文件、使用U盘或者移动硬盘传输文件与在网上浏览不正规的网站等;第四忽视对应该服务系统的有效管理与建设，这与学校经费或者上经领导重视或管理者水平有关。第五网络技术与病毒更新太快，管理员的学习跟不上发展速度，加强网络管理员的相关业务学习很重要。

现在流行的维护方法：静态绑定、Antiarp和具有ARP防护功能的路由器。但这只是针对网络与使用设置的一种应对措施，相对中小学小而全的校园网而言，还远远不够。我们应全面考虑各种因素，多管齐下来应对ARP病毒攻击问题。第一：从病毒来原入手，第二从病毒攻击方式考虑，第三对使用者——教师的电脑与网络使用的相关培训，第四网络管理者专业水平的提高，第五学校的重视。

应对ARP病毒攻击的具体措施

从全局角度来思考：教育信息化实现的基础是网络正常运行，各种信息化的教育教学活动没有网络的正常运行再好的东西也无法使用。如无纸化办公(OA系统)、教学资源库、家校通、广港校际在线交流(视像中国)、远程集体备课、学生电子书包、电子课堂等。各种现代化信息教育教学都运行在良好的网络环境之上，网络与现代信息化教育教学活动的基础。所以学校必需重视才行，不然何谈教育信息化。学校的重视也有利于网络管理员的工作，如加大网络基础的投入、与部门的工作配合、参加各种有利于业务水平提高的培训与交流活动等。争取学校的重视，是网络工作是有力保证。争取学校的重视，首先要把自己的本职工作做好，做好了本职工作是领导重视的前提。其次是做好网络工作计划，一个合理的计划能更有利于我们开展工作，也能更好地获得所有管理者与参与者支持。然后整理好工作中遇到的问题和教师的使用意见，是向学校提供决策的重要参考意见。

从网络技术角度来解决：技术方面首先是病毒来源着手，ARP病毒一般都与木马病毒共存，病毒来源有三个方面，第一是因特网，第二是U盘或移动硬盘等移动式存储器，第三是网内原有电脑上本身就存有。应对因特网上的木马或者病毒，我们一定要加装防火墙，做好相关策略。设置防火墙的技术策略这里不详讲，因为各种不同的防火墙有不能的命令与解决方法。应该对内部病毒，我们应该先组织一次全面的清理活动，在最大可能减少内部病毒的出现，然后加装相关的杀毒软件与单机防火墙。应该移动存储器内的病毒主要是加强使用者的防范意识，经常查杀自己移动存储器，每天使用时都必须检查病毒后再使用。

然后从ARP病毒攻击原理来处理，第一静态绑定：最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定，使ARP无法欺骗。第二内网分段，根据各区域与功能相关不同使用者，划分不同的VLin。这样就算网内有机器感染了ARP病毒，也不会迅速传播到整个局域网，让管理员有足够的时间与空间来处理。第三，有条件的学校可以做到终端交换机端口划分与绑定，在这不多言。第四，核心交换机上，利用交换机的统计功能，对某一MAC地址一定时间内对网关请求数过大(如每分钟大于90次)，即断开这台电脑的网络。这是因为现在绝大部分中小学网络管理员都是兼职，不可能经常在监视网络运行情况;这样在网络管理员不在的情况下，可以在一定程度上保证网络正常运行。第五，每天定时认真查看路由器、防火墙、上网行为管理设备、核心交换机等关键网络设置记录，了解网络运行情况。第六，使用Sniffer等网络工具定时扫描网络内部情况，并认真分析异常情况，提前发现问题并解决问题。

最后从应用角度来防范，第一，使用并有效管理好公共服务器系统，特别是文件服务器、资源库服务器、BBS服务器等流量比较大，利用率比较高的服务器。这些公共服务系统可以减少老师对移动存储器的使用，更能相对较少地减少老师在使用外网时中毒的机率。这些重要服务器应该划分单独的VLin,并做好相关的安全策略，能安全服务器杀毒软件是最好的。专业的网络管理员提出的服务器不应该装杀毒，也是有道理的，但现在中小学里的网络管理员并不是非常专业的网络技术管理员，也不能时刻监视网络情况与服务器系统情况，我们都是业余级的。第二，当发现网内有机器感染了ARP病毒，最简单的方法是：先断该机器的网络连接，最好是物理中断;然后保存好该机器内重要数据，然后在干净的网络环境下清理所有数据，并重装系统等相关工作;同时对机器使用者进行解释说明与相关宣传工作。在干净的网络环境这点很重要，可以避免机器二次感染。

从自身角度来提高：时代是发展的。网络信息技术的发展更是以超出人们想象的速度在发展。培训与学习更是应对各种网络问题的重中之重。技术培训分二部分，第一是网络管理员的业务水平技术培训与学习。第二是网络使用者的电脑与网络应用技巧的校本培训。对于学校来说，应该创造条件，让网络管理员不断参加各种网络技术相关的培训学习班或者研讨会;网络管理员也要通过各种途径来学习各种新技术，了解技术的展情况。比如网上的技术论坛上参与讨论与学习：中国网管论坛(http://bbs.bitscn.com/)、网络管理员(http://bbs.krshadow.com/forum-20-1.html)、51TCO技术论坛(http://bbs.51cto.com/forum-143-1.html)等。网络管理员也应该经常在学校内部进行电脑与网络应用的相关校本培训，提高使用者的应该水平与防病毒能力;同时经常与不同应用能力的使用者之间进行小范围的研讨工作，深入一线使用者中，去了解各种使用者的应用情况。把学校校园网比做一个人的话，提高网络管理者与应用都自身水平，就是像是提高人的身体素质一样，是应对病毒攻击最好的办法。

应对ARP病毒攻击，从学校指导思想层、校园网络管理层、网络应用层来发展问题并解决问题，才是应对ARP病毒攻击基本。做好这三者之间的工作，应对ARP病毒攻击就能轻松自如。

2012-1-7