遭受ARP攻击，已拦截到底是什么意思啊?怎样阻止？

360提示ARP断网攻击正在发生,360已拦截,怎么找到攻击源IP?~

一、ARP攻击原理：调用系统里的npptools.dll文件。
1、网络执法官、彩影arp防火墙等ARP攻防软件也用这个，如果把这个DLL文件删除了，之后随便弄个DLL改名为npptools.dll即可。
2、如果C盘是NTFS分区格式就把权限都去掉，如果是FAT格式弄个只读就可以了。
3、防攻击文件：C:\WINDOWS\system32\ npptools.dll
4、处理方法：新建一个空文本文档，改名为npptools.dll然后把它复制到system32文件夹里，覆盖原有的npptools.dll，如果没关闭文件保护，先关闭。再把system32\dllcache里的npptools.dll也覆盖了，然后把它们的属性改为只读、隐藏，最后再把它们的everyone权限都去掉，即可！
5、npptools.dll文件的属性改为只读、隐藏后，再把它们的everyone的权限去掉，病毒就不能替换也不能使用它了，arp就不会起作用，从而达到防范ARP的目的。
二、定位ARP攻击源头
1、主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。
标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。
2、被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。
也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻 击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。　3、3、NBTSCAN的使用范例：
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。
3）通过查询IP–MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。
4、防御方法
a、使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。
b、对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

近期ARP病毒肆虐，几乎骚扰了所有的局域网，所到之处，网络故障频繁，网速突然变慢，而且网络连接时断时续，轻则影响正常的工作秩序，重则可导致整个局域网络瘫痪，甚至造成无法弥补的损失。因而，如何采取行之有效的措施防范ARP病毒，已成为近期网络安全工作的重中之重。
这里笔者以某公务大厦的局域网改造情况为例进行分析，介绍如何采用VLAN技术对局域网进行优化改造，从而有效防范ARP病毒的攻击。
网络现状
该公务大厦局域网络具体现状为：公务大厦共分9层，大厦宽带网络通过100M光纤上联到网通公司招商局模块为S6502交换机。在公务大厦一楼中心机房通过光电收发器将光信号转换成电信号后，通过百光网线上联至H3C的防火墙外网口。防火墙内网口经过一台楼宇交换机转接至各楼层交换机，每楼层各有一台清华比威的楼宇交换机作为相应楼层办公室的宽带接入使用。防火墙外网口配置网通公司分配的专线IP地址，内网口配置私网IP地址，防火墙作为NAT设备使用，配置两个外网口和四个内网口。实际网络环境中使用了一个外网口(WAN0)和一个内网口(LAN0)，所有的楼宇交换机均在一个VLAN内，公务大厦各办公室的终端计算机配置防火墙内网口的私网IP地址进行互联网的访问。
目前接入的终端机数量接近300台，由于各楼层的楼宇交换机与防火墙的内网口均在同一VLAN内，内网IP只有一个网段，造成同一VLAN内的节点数量较多，存在大量的广播报文，一方面导致用户网速减慢，另一方面由于部分终端机感染ARP病毒，迅速导致整个网络大面积爆发ARP病毒，造成整个局域网的不稳定。改造前的网络拓扑结构如图1所示。
ARP病毒作怪
近期，该公务大厦宽带网络连续出现网络频繁中断，装有360安全卫士并开启局域网攻击拦截功能的终端计算机会突然出现一个 “拦截提示”对话框——“360已拦截一次ARP攻击”，然后就掉线。重新启动操作系统可以暂时恢复，过一小会儿又出现“360已拦截一次ARP攻击”，然后又掉线，需要不断重新启动操作系统，而查杀令人讨厌的电脑木马和病毒均为0。没有安装360安全士或者没有开启局域网攻击拦截功能的终端计算机则会突然网络中断。开始是几台电脑出现上述情况，后来出现这种症状的电脑越来越多，直至整个局域网几乎完全瘫痪。尽管网络管理员根据预先统计的终端IP和与其绑定的MAC地址能查到发病的终端计算机，并及时对发病终端进行处理，但是，由于终端太多，而且都在同一个VLAN内，一旦有一台终端感染ARP病毒，就会迅速波及到整个网络，给彻底清除ARP带来非常大的困难。
升级改造网络
为彻底解决这一问题，网络管理员决定对网络进行升级改造。由于该公务大厦楼层多且终端多，网络布线复杂，网管认为应该在保证安全性、保密性的基础上，尽量减少网络物理上的改动。经过分析研究，确定启用H3C防火墙的LAN0~LAN3内网口，在防火墙下联处增加一台园区汇聚交换机，做好VLAN划分，分别由不同的VLAN与防火墙的内网口相连，各内网口配置不同的IP地址段，保证每个楼层独立分配一个单独的IP地址段;园区汇聚交换机至各楼层的楼宇交换机的互联端口启用VLAN划分(即采用VLAN技术将各楼层之间的终端机进行分离)，保证各楼层之间的VLAN相对独立，减少ARP病毒带来的连锁反应，避免网络风暴的发生。
具体改造方案
根据现有网络的布局和各楼层之间终端分布数量情况，网络管理员制定出一个基于楼层进行IP地址划分的具体方案，把IP地址段配置在H3C防火墙的内网口上(一个端口可以配置多个IP地址段)，同时在H3C防火墙上定义NAT转换策略，保证内网IP的及时转换，保证各楼层之间的终端对应的IP地址段相对独立，不会出现相互影响的情况

已成功拦截ARP攻击是指计算机拦截到了伪造IP地址和MAC地址实现ARP欺骗。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP攻击主要表现为：
1、局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。
2、个人电脑则表现在网速变慢，经常掉线，通讯信息被截取。
ARP攻击防御措施：
1、对于ARP的防御现在很多防火墙都已经集成这种功能，开启这项功能即可。
2、对于局域网来说最好的防止ARP攻击的办法就是使用“静态ARP”。

你遭到了网络攻击，但是杀毒软件已经给你拦截了这次攻击，也就是对你进行了防护局域网中有这个提示是正常的，不用管他，防火墙已经拦截了。有人用P2P工具控制你的网速呢，或者是局域网有机器中病毒了也会有这样的提示，不过不用担心的。不过对方如果用幻境网盾的话就拦截不住了，如果有一天觉得上网特别慢或者老掉线可以用这个 “防ARP欺骗利器 加强版”来防御。有问题给我发信息，有帮助就请采纳，谢谢！
你这是校内网或者是局域网吧，可能是局域网中的某个人用P2P工具耍的一些小聪明，可以考虑将ip地址固定，不要设置自动获取ip，单纯用360卫士可以拦截，不必在意。
不知道对你有没有帮助

谢谢
不客气

---

遭受ARP攻击，已拦截到底是什么意思啊?怎样阻止？视频