怎样用流量监控定位ARP欺骗？

antiarp.exe到底有什么

1、 ARP是什么？ARP欺骗是什么？ ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。是系统进行通讯的基础，是以信任为基础的，如果破坏了这个信任，那就形成ARP欺骗了。 ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。是系统进行通讯的基础，是以信任为基础的，如果破坏了这个信任，那就形成ARP欺骗了。 ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。是系统进行通讯的基础...全部

  1、 ARP是什么？ARP欺骗是什么？ ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。是系统进行通讯的基础，是以信任为基础的，如果破坏了这个信任，那就形成ARP欺骗了。
   ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。是系统进行通讯的基础，是以信任为基础的，如果破坏了这个信任，那就形成ARP欺骗了。
   ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。是系统进行通讯的基础，是以信任为基础的，如果破坏了这个信任，那就形成ARP欺骗了。
   2、 ARP的具体现象是什么？其危害是什么？ 具体的现象有几种：具体的现象有几种：(1) 内网单机或局部掉线，重启、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接。
  具体的现象有几种：(1) 内网单机或局部掉线，重启、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接。(2) 网络闪断，但马上可以连接上。 (3) 全部掉线，必须重新启动路由才可上网。
   (4) 内网上网用户丢号问题严重，频繁出现丢号现象。 其具体的危害为影响顾客正常上网，帐号频繁丢失，损害顾客群，导致网吧经济效益受影响。有时候网吧没有出现频繁掉线情况，但帐号频繁丢失也是中了ARP欺骗的现象，一般都是为闪断后马上可以连接上，但所上网使用的代理已经更换为伪装的路由器了。
  这样是导致丢号的真实原因。 3、 如何进行ARP问题的检测或判断，一般监测ARP问题的软件都为什么？ （1）检测ARP问题方法很简单，一般如果出现掉线问题的时候，如果不是大面积掉线时，重新启动计算机、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接，这样的情况基本可以判断为ARP欺骗攻击。
  （1）检测ARP问题方法很简单，一般如果出现掉线问题的时候，如果不是大面积掉线时，重新启动计算机、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接，这样的情况基本可以判断为ARP欺骗攻击。
  （2）网络不稳，时常出现闪断，但是网络马上都可以继续连接，重起某一台机器会导致全网掉线也基本可以判断为ARP欺骗攻击，重启的那台计算机为ARP欺骗伪装路由器。（1）检测ARP问题方法很简单，一般如果出现掉线问题的时候，如果不是大面积掉线时，重新启动计算机、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接，这样的情况基本可以判断为ARP欺骗攻击。
  （2）网络不稳，时常出现闪断，但是网络马上都可以继续连接，重起某一台机器会导致全网掉线也基本可以判断为ARP欺骗攻击，重启的那台计算机为ARP欺骗伪装路由器。（3）内网用户频繁丢号，但单机查不出任何木马和盗号程序，这个时候基本也可以判断为ARP欺骗。
   （4）经常性的出现全网掉网，但重新启动路由器，可以恢复上网，也基本可以判定为ARP欺骗攻击。 （5）网吧已经进行过IP-mac绑定，但是仍然出现以上情况，还是可以判断为arp攻击现象。
  因为IP-mac绑定根本不可以解决arp欺骗攻击问题。 一般可以用到的监测软件为：网络执法官，欣向检测程序等等 4、 ARP产生的几种原因是什么？ （1） 目的：盗号、破坏（1） 目的：盗号、破坏ARP盗号原理：（1） 目的：盗号、破坏： 欺骗机A 对网络内发送信息 ——“我是路由器，你们得通过我上网”，然后把自己伪装成路由器，然后下面的机器就闪断一下，但马上就能上网了，可是一上网所有的数据都是通过伪装的欺骗机，经过伪装的路由机的相关软件的分析解答，这样号就丢了，这个时候把欺骗机一重新启动，或者一关闭，马上全网都掉线了，这个情况基本很多人都会丢号的了。
  现在一段时间这种盗号情况在网吧出现的比较频繁，也是影响网吧正常生意的一大杀手。 利用ARP攻击进行破坏： QQ第六感、网络执法官、网络剪刀手、p2p终结者、ARP攻击器、天下网盟的一个网友发的ARP攻击测试器。
   有些不法分子利用ARP问题的可操作性进行对网吧的破坏，以达到其不法的目的。造成后果有单机或局部计算机掉线、闪断，频繁闪断，但可马上连接上，全局掉线。一般其可利用的部分软件为： 5、 几种混淆ARP的情况是什么？ 魔波：一种新型病毒，针对个人用户pppoe拨号频繁掉线，现在已经有官方补丁了。
   Ddos洪水攻击：通过海量数据包发送堵死通讯端口导致数据不能正常通讯，产生掉线，一般发生在外网比较频繁，内网很少发生。 外网掉线：掉线的时候用命令ping 内网网关正常 ，ping 外网DNS或者外网网关出现断流或丢包，这属于外网数据包异常，外网的问题，出现这个问题请速度与电信供应商联系。
   6、 ARP的影响。 频繁的掉线、不稳定的网络、经常的被盗号，会严重影响网吧的声誉，也会让网吧的经济受到直接的损害，所以推荐网吧业主针对ARP问题要以防为主。所谓“忘羊补牢，为时以晚”，因为网吧的客源如果受损失后，想恢复正常客源是需要时间的，这个时间网吧所遭受的经济损失是巨大的。
  很多网吧都在经历过大范围的ARP问题之后痛定思痛，彻底解决ARP问题，那么就请各位在网吧还安全的时候使用ARP卫士进行防范，以保护您正常安全绿色的网络。 7、 ARP的解决方法。 ARP卫士原理： 他制作了个虚拟的驱动设备，专门针对arp的，从控制端上把所有正常的机器的列表搜集全后，建立白名单，所有正常的，在白名单内的数据包可以通过ARP防御的虚拟设备，不正常的直接拦截，感觉他的原理和效果都比较让我满意。
  （推荐） Anti Arp sniffer原理： 用IP-mac地址绑定为基础，发现arp欺骗数据包时，通过软件的周期性命令arp -d清除ARP缓存列表，达到清除ARP故障问题。
  使用测试软件：QQ第六感、ARP攻击测试器等相关软件的测试，ARP数据包的单发和多发，Anti ARP sniffer都不能够很好的进行防御，掉线次数频繁，仍然会将欺骗主机伪装的路由当成正常路由进行上网，导致帐号丢失。
  （不推荐） ARP保护神、IP-mac绑定等方法经测试效果很差，基本都是利用IP-MAC地址进行绑定保护，使用测试软件和现实实测，效果不好。同时进行IP-mac地址绑定后，也使路由变成了一个发送ARP欺骗数据包的大攻击源，为了保证网络内的计算机时时能用正常的ip-mac地址上网，路由会不断发送ARP列表数据包，增加了路由的承载负荷，导致网络速度拖慢或路由死机频繁，这个现象用网络执法官可以查看到。
   。收起