如何查win10是否中arp毒

1.如何确认自己的电脑是否中了ARP病毒?

ARP欺骗方式共分为两种：

一种是对路由器ARP表的欺骗，该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网。

另一种是对内网PC的网关欺骗，仿冒网关的mac地址，发送arp包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。

针对这种情况瑞星公司提供以下解决办法：

方法一、在收到ARP欺骗的本机，在开始--运行中，输入“cmd”，进入ms-dos，通过命令行窗口输入“arp -a”命令，查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。

方法二、借助第三方抓包工具（如sniffer或antiarp）查找局域网中发arp包最多的IP地址，也可判断出中病毒计算机。

造成arp欺骗的病毒，其实是普通的病毒，只要判断出发包源，使用杀毒软件进行清查，是可以彻底解决的。

2.中ARP病毒怎么查找是哪台电脑中

或者，ARP 数据包的发送和目标地址不在自己网络网卡 MAC 数据库内，或者与自己网络 MAC 数据库 MAC/IP 不匹配。

这些统统第一时间报警，查这些数据包 （以太网数据包）的源地址（也有可能 伪造），就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。

处理办法通用的处理流程：1 .先保证网络正常运行方法一：编辑个***.bat 文件内容如下：arp.exe ?s **.**.**.**（网关 ip） **？**？**？**？**？**（网关 mac 地址）end让网络用户点击就可以了！办法二：编辑一个注册表问题，键值如下：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"mac"="arp ?s 网关 IP 地址 网关 Mac 地址"然后保存成 Reg 文件以后在每个客户端上点击导入注册表。2 找到感染 ARP 病毒的机器。

在电脑上 ping 一下网关的 IP 地址，然后使用 ARP -a 的命令看得到的网关对应的 MAC 地址是否与实际情况相符，如不符，可去查找与该 MAC 地址对应的电脑。使用抓包工具，分析所得到的 ARP 数据报。

有些 ARP 病毒是会把通往网关的路径指向自己，有些是发出虚假 ARP 回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。

3.谁知道ARP病毒怎么查出来的?又将怎样杀掉?

ARP病毒在病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。

例子中的IP地址均为假设，正确的IP请查询或加入群13770791 一、在任意客户机上进入命令提示符（或MS-DOS方式），用arp –a命令查看： C:WINNTsystem32>arp -aInterface: 192.168.100.93 on Interface 0x1000003Internet Address Physical Address Type192.168.100.1 00-50-da-8a-62-2c dynamic192.168.100.23 00-11-2f-43-81-8b dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.100.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.100.24实际上为有病毒的机器，它伪造了192.168.100.1的MAC地址。 二、在192.168.100.24上进入命令提示符（或MS-DOS方式），用arp –a命令查看： C:WINNTsystem32>arp -aInterface: 192.168.100.24 on Interface 0x1000003Internet Address Physical Address Type192.168.100.1 00-02-ba-0b-04-32 dynamic192.168.100.23 00-11-2f-43-81-8b dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.193 00-11-2f-b2-9d-17 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。

三、如果主机可以进入dos窗口，用arp –a命令可以看到类似下面的现象： C:WINNTsystem32>arp -aInterface: 192.168.100.1 on Interface 0x1000004Internet Address Physical Address Type192.168.100.23 00-50-da-8a-62-2c dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-50-da-8a-62-2c dynamic192.168.100.193 00-50-da-8a-62-2c dynamic192.168.100.200 00-50-da-8a-62-2c dynamic 该病毒不发作的时候，在代理服务器上看到的地址情况如下： C:WINNTsystem32>arp -aInterface: 192.168.100.1 on Interface 0x1000004Internet Address Physical Address Type192.168.0.23 00-11-2f-43-81-8b dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.193 00-11-2f-b2-9d-17 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic 病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。 解决办法： 一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。

1. 在所有的客户端机器上做网关服务器的ARP静态绑定 。 首先在网关服务器（代理主机）的电脑上查看本机MAC地址 C:WINNTsystem32>ipconfig /allEthernet adapter 本地连接 2:Connection-specific DNS Suffix . escription . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)Physical Address. . . . . . . . . : 00-02-ba-0b-04-32Dhcp Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 192.168.100.1Subnet Mask . . . . . . . . . . . : 255.255.255.0 然后在客户机器的DOS命令下做ARP的静态绑定 C:WINNTsystem32>arp –s 192.168.100.1 00-02-ba-0b-04-32 注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。

2. 在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定 首先在所有的客户端机器上查看IP和MAC地址，命令如上。 然后在代理主机上做所有客户端服务器的ARP静态绑定。

如： C:winntsystem32> arp –s 192.168.0.23 00-11-2f-43-81-8bC:winntsystem32> arp –s 192.168.0.24 00-50-da-8a-62-2cC:winntsystem32> arp –s 192.168.0.25 00-05-5d-ff-a8-87。

3. 以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。

二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定 三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：发现的病毒是变速齿轮 2.04B中带的，病毒程序在 可有相关： 1、KAV（卡巴斯基），可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.c杀毒信息：07.02.2005 10:48:00 Cocuments and SettingsTemporary Internet FilesContent.IE5B005Z0K9Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c 2、瑞星可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.f 3、另：别的地市报金山毒霸和瑞星命名：“密码助手”木马病毒（Win32.Troj.Mir2）或Win32.Troj.Zypsw.33952的病毒也有类似情况。 祝你成功··· 还有问题的话就问我吧··· 希望你的电脑没有问题了。

4.要怎么检查电脑是否中了ARP病毒

用杀毒软件查杀

你可以试试腾讯电脑管家，免费专业安全软件，杀毒管理二合一，占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证安全。

如果遇到ARP攻击。可以修改密码。访问路由器，在其中设置IP地址和Mac地址绑定，这样ARP攻击就无效了

建议你还可以开启ARP防火墙

ARP防火墙，简单来说是局域网的防火墙，当你的电脑是属于局域网的电脑时，你用这个ARP防火墙时，可以防止他人用：“网络执法官、网络剪刀手、局域网终结者”之类的软件来攻击你，使你的电脑无法上网。

打开电脑管家——首页——工具箱——ARP防火墙开启

转载请注明出处windows之家 » 如何查win10是否中arp毒