关于局域网ARP攻击，MAC地址欺骗的解决方法最近很多网络反映频繁断线并且网速较慢，已经确认：这是由于一种名为“网吧传奇杀手Trojan.PSW.LMir.qh”的病毒爆发引起的，现我们发布查找病毒以及基本解决办法：1、此类病毒采用arp攻击，克隆MAC地址条目进行欺骗。当发现网络非正常时，网管可任找一台机器，开启DOS窗口并输入“arp-a”命令,会发现很多不同IP地址有着相同的MAC地址表：Code:Interface:192.168.0.1onInterface0x1000004InternetAddressPhysicalAddressType192.168.0.100-e0-1c-8c-9a-0edynamic192.168.0.10100-e0-4c-8c-9a-47dynamic192.168.0.10200-e0-4c-8c-9a-47dynamic192.168.0.10400-e0-4c-8c-81-ccdynamic192.168.0.10500-e0-4c-8c-9a-47dynamic192.168.0.10600-e0-4c-8c-9a-47dynamic192.168.0.10700-e0-4c-8c-9a-47dynamic192.168.0.10800-e0-4c-8c-9a-47dynamic192.168.0.11200-e0-4c-8c-9a-47dynamic192.168.0.11400-e0-4c-8c-81-ccdynamic192.168.0.11500-e0-4c-8c-9a-47dynamic---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---192.168.0.11600-e0-4c-8c-9a-47dynamic192.168.0.11700-e0-4c-8c-9a-47dynamic我们可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后需要网管在每台工作站DOS窗口中输入“ipconfig/all”命令，察看每台机器的MAC地址：Code:Connection-specificDNSSuffix.:Description...........:RTL8139PhysicalAddress.........:0-e0-4c-8c-9a-47DHCPEnabled...........:NoIPAddress............:192.168.0.133SubnetMask...........:255.255.255.0DefaultGateway.........:192.168.0.1DNSServers...........:61.177.7.1通过以上步骤定位到染毒的机器，予以隔离处理。2、基本解决办法，在任意一工作站通过在DOS窗口下运行TRACERT（格式：tracert[域名或者IP地址]）命令，获取本地网关地址，然后运行ARP-A找到对应网关IP的MAC地址，在C盘根目录下编写一批处理文件arp.bat，加入启动项每次启动运行，其原理是为在每台工作站增加、绑定属于网关的静态arp地址条目，不接受欺骗程序的arp条目更新请求:---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---Code:cdc:\[windows的安装路径]\system32arp–darp-s192.168.168.100-e0-1c-8c-9a-0egotoend注意：各网络将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，重新启动计算机。对于ARP欺骗，提出几点加强安全防范的措施。环境是主机或者网关是基于Linux/BSD的。一、理论前提本着“不冤枉好人，不放过一个坏人的原则”，先说说我的一些想法和理论依据。首先，大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊，废话！)。这就假设，如果犯罪嫌疑人没有启动这个破坏程序的时候，网络环境是正常的，或者说网络的ARP环境是正常的，如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信和可依靠的。好，接下来我们谈论如何在第一时间发现他的犯罪活动。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---ARP欺骗的原理如下：假设这样一个网络，一个Hub接了3台机器HostAHostBHostC其中A的地址为：IP：192.168.10.1MAC:AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2MAC:BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.10.3MAC:CC-CC-CC-CC-CC-CC正常情况下C:\arp-aInterface:192.168.10.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.10.3CC-CC-CC-CC-CC-CCdynamic现在假设HostB开始了罪恶的ARP欺骗：---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就...