瑞星卡卡安全论坛

局域网中的电脑比单机上网的电脑又多了一种中毒的可能性，那就是arp欺骗，对于这种arp欺骗，可以通过瑞星防火墙的设置来保护自身电脑的安全。

设置的方法：
1.打开防火墙/设置/详细设置/arp欺骗防御，做如图设置：

附件: 92523220071220152440.jpg

2.点击arp欺骗防御下的arp静态规则，选择“增加”，把网关的IP和MAC地址输入进去，就可以起到保护本机不受arp欺骗的效果。如图：

附件: 92523220071220152515.jpg

注：arp静态规则，选择“增加”里可以自动“获取网关地址”，这里不推荐使用，建议咨询网管，手动输入网关的地址，来保证其正确性。
单机用户可以将此项功能关闭，不用开启。

手动获取网关IP地址的方法:

开始——运行——CMD——arp -a

第一行即是网关的IP地址，如图：

假如arp -a显示为:no arp entries found则可能是并不在局域网。由于ARP欺骗只存在于局域网，所以非局域网的用户不需要，也不要启用ARP欺骗防御。



附件: 76991820071230123007.jpg

========Content========我按你的去做了大哥可还是会报警呢？

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.1.178 --- 0x2
  Internet Address      Physical Address      Type
  192.168.1.1          00-0a-eb-cc-60-b2    dynamic
  192.168.1.102        00-0a-eb-5e-5f-d6    dynamic



我把192.168.1.1          00-0a-eb-cc-60-b2
填进去了计算机名也填了，还是会有那个提示？
而且一直提示，打开迅雷就说有该网页有病毒代码，然后杀毒就会有这两个病毒
Hack.Exploit.Script.JS.RealPlayer.b
Hack.Exploit.Script.JS.Agent.aa   

杀都杀不掉。[img][/img]

附件: 999160200817154752.jpg

我也填了.难道还有不多的地方吗？

附件: 999160200817154924.jpg

如果光打开迅雷报毒，可能是你的迅雷或者该网站感染了病毒。

在规则里只需要添加网关的IP和MAC地址就可以。如果局域网里还有arp欺骗，防火墙就会有提示，就好像防火墙经常报有人ping入一样，其实已经起到了保护作用，只是告诉你发生了这种事情。

引用:

【abc262603303的贴子】Microsoft Windows XP [版本 5.1.2600] (C) 版权所有 1985-2001 Microsoft Corp. C:\Documents and Settings\Administrator>arp -a Interface: 192.168.1.178 --- 0x2   Internet Address      Physical Address      Type   192.168.1.1          00-0a-eb-cc-60-b2    dynamic   192.168.1.102        00-0a-eb-5e-5f-d6    dynamic 我把192.168.1.1          00-0a-eb-cc-60-b2 填进去了计算机名也填了，还是会有那个提示？ 而且一直提示，打开迅雷就说有该网页有病毒代码，然后杀毒就会有这两个病毒 Hack.Exploit.Script.JS.RealPlayer.b Hack.Exploit.Script.JS.Agent.aa    杀都杀不掉。[img][/img] ………………

蓝色字体显示的是IE存在漏洞,或者说是:楼主遇到了通过IE传播的脚本病毒了。

楼主尝试：

1、使用瑞星漏洞扫描工具扫描漏洞（卡卡安全助手扫描或者是瑞星杀毒软件——工具中的漏洞扫描工具）

2、下载IE7。0，

下载地址：

IE7 For XP 本地下载：http://dd.pctutu.com/soft/IE7SetupXPSR.exe

下载之后，查杀病毒，然后退出防火墙、禁用杀毒软件所有监控、拔掉网线，关闭其它一切可以关闭的应用程序，以避免安装失败。

一般安装大概是半个小时之后即可安装完成。

假如提示安装失败，请重启，然后再关闭所有程序和禁用杀毒软件监控。再试

假如安装IE7之后,仍有此提示,请使用卡卡安全助手_隐私保护_

(勾选)IE使用痕迹
(勾选)Windows临时文件夹

立即清理

清理之后再次查杀试试.

假如仍存在,只有重装:

最新版迅雷http://dl.xunlei.com/index.htm
新版ReayPlay  http://www.onlinedown.net/soft/16622.htm

【回复“万事达”的帖子】


你好！我以前使用遨游浏览器的，现在我用IE7之后就没有出现网页病毒了。可是有一个问题我没弄明白。一个计算机有几个MAC地址呢？
1、单击“开始”→“运行”→输入“cmd”→回车,在出现的命令提示符界面中输入“ipconfig /all”→回车，可以得到计算机的MAC地址，其中Physical Address就是计算机的MAC地址.      这样我得到的MAC地址是00-17-31-E7-E4-8F    网关是192.168.1.1

2、开始——运行——CMD——arp -a      这样我得到的MAC地址是00-0a-eb-cc-60-b2        00-0a-eb-5e-5f-d6  这个两个地址有时候这样显示---Interface: 192.168.1.178 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-0a-eb-cc-60-b2 dynamic
192.168.1.102 00-0a-eb-5e-5f-d6 dynamic

其次这样显示：
Interface: 192.168.1.178 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-0a-eb-5e-5f-d6  dynamic
192.168.1.102  00-0a-eb-cc-60-b2  dynamic

再有的是这次你看显示网关和MAC地址的：  192.168.1.1 00-0a-eb-5e-5f-d6        192.168.1.1  00-0a-eb-cc-60-b2

192.168.1.1  00-0a-eb-cc-60-b2（在瑞星防火墙ARP静态规则里面直接点击获取网关就是这个地址但是一直报警说发现与您设置的ARP规则相冲突    冲突包内容：  IP：192.168.1.1  MAC：00-OA-EB-5E-5F-D6    更新到静态规则                静态规则：规则名称：65194AC1295C42F    IP:192.168.1.1  MAC:00-OA-EB-CC-60-B2）

不管我选择那一个都会报警，那我想请问一下到底那个是真的？  而我选择192.168.1.1      00-17-31-E7-E4-8F  这个地址又不能上网但是换了数字又能上网了就是不要网关要IP  192.168.1.178    00-17-31-E7-E4-8F    请问这个又是为什么呢？  因为我们这边是集体寝室所以也不好去查人家的电脑呢到底是谁中毒了。请高手耐心的解答一下，谢谢了！！！

【回复“过客2007”的帖子】



你好！我已经使用了IE7了，不过我现在发现一个问题啊，就是我开一个迅雷（在下载）一个QQ，迅雷是最新新版本的，有时候你不去动迅雷QQ以及打开网页，什么事都没，只要你打开网页或者动一下迅雷就会弹出窗口说该网页有病毒代码已被瑞星阻止，然后就杀毒一般都是能杀一个到三个病毒（Hack.Exploit.Script.JS.RealPlayer.b
Hack.Exploit.Script.JS.Agent.aa
）这样。瑞星防火墙有在说收到ARP规则相冲突---冲突包内容：  IP：192.168.1.1  MAC：00-OA-EB-5E-5F-D6    更新到静态规则                静态规则：规则名称：65194AC1295C42F    IP:192.168.1.1  MAC:00-OA-EB-CC-60-B2） 


当我把这两个MAC地址换了一下----冲突包内容：  IP：192.168.1.1  MAC:00-OA-EB-CC-60-B2    更新到静态规则                静态规则：规则名称：65194AC1295C42F    IP:192.168.1.1  MAC：00-OA-EB-5E-5F-D6）电脑就上不了网了，只有IP：192.168.1.1  MAC:00-OA-EB-CC-60-B2 （这个IP和MAC地址有时候遇到冲突的时候会掉线）要么是IP：192.168.1.178    MAC:00-17-31-E7-E4-8F这两个才能上网。请问我选择那一个呢？要是我选择了ARP还是会显示报警说有冲突什么办？而且一动一下网页或者迅雷等就会有网页病毒出现。我基本上是天天升级天天杀毒有时候一天杀好机次呢。

只需要把网关的IP和MAC添加进规则就可以了。如果还是提示arp冲突，那说明局域网有台电脑中毒了，找到这台电脑，升级杀软，断网杀毒。

没有用的，瑞星的防火墙没有用的，防不了ARP攻击。。

楼上的什么情况，详细描述一下。

【回复“万事达”的帖子】ARP静态规则--点增加出现一个框,第一行的名称应该填什么?????

引用:

【abc262603303的贴子】【回复“过客2007”的帖子】 你好！我已经使用了IE7了，不过我现在发现一个问题啊，就是我开一个迅雷（在下载）一个QQ，迅雷是最新新版本的，有时候你不去动迅雷QQ以及打开网页，什么事都没，只要你打开网页或者动一下迅雷就会弹出窗口说该网页有病毒代码已被瑞星阻止，然后就杀毒一般都是能杀一个到三个病毒（Hack.Exploit.Script.JS.RealPlayer.b Hack.Exploit.Script.JS.Agent.aa ）这样。瑞星防火墙有在说收到ARP规则相冲突---冲突包内容：  IP：192.168.1.1  MAC：00-OA-EB-5E-5F-D6    更新到静态规则                静态规则：规则名称：65194AC1295C42F    IP:192.168.1.1  MAC:00-OA-EB-CC-60-B2）  当我把这两个MAC地址换了一下----冲突包内容：  IP：192.168.1.1  MAC:00-OA-EB-CC-60-B2    更新到静态规则                静态规则：规则名称：65194AC1295C42F    IP:192.168.1.1  MAC：00-OA-EB-5E-5F-D6）电脑就上不了网了，只有IP：192.168.1.1  MAC:00-OA-EB-CC-60-B2 （这个IP和MAC地址有时候遇到冲突的时候会掉线）要么是IP：192.168.1.178    MAC:00-17-31-E7-E4-8F这两个才能上网。请问我选择那一个呢？要是我选择了ARP还是会显示报警说有冲突什么办？而且一动一下网页或者迅雷等就会有网页病毒出现。我基本上是天天升级天天杀毒有时候一天杀好机次呢。 ………………

还真有点复杂,问几个问题:

1.你们是不是在学校里的局域网,还是宿舍单独接的一根宽带/ADSL??(假如是学校的局域网的话,这个情况比较复杂...假如是在宿舍的局域网,为了方便的话,可以趁他们不在的时候在本机运行ipconfig /all  arp -a等命令,一般情况下,这样MAC地址与IP对应关系是一致的,假如还是出现不一致的情况,那么,我可以告诉楼主,是楼主本机中毒了!)

2.使用这种方法,假如排除了是楼主本机中毒,那么,楼主就可以开始着手设置了.

因为不是楼主机本中毒,那么楼主在其它电脑都关机的情况下获取的IP与MAC地址对应关系一定是正确的,所以楼主绑定这个IP与MAC地址对应关系是准没错了.(当然,为了防止RPWT的发生,也可以在其它电脑关机之后,重启一下路由器,再运行IPCONFIG /all 或者arp -a命令)'

获取了正确的网关IP与MAC地址后,可以设置如下:

防护指定的计算机地址,及去掉一些不必要的提示

当然,为了再次防止那些漏洞提示,楼主可能需要扫描一下系统中的漏洞.




附件: 7699182008126111336.jpg

:default7: 工程师
能不能把除了网关得mac机器都屏蔽掉啊？
凡是有欺骗的mac和ip都屏蔽掉
不要让用户去选设置
用户又不知道哪个是对的
不然老是弹出来搞得我游戏没法打了
十分感谢:default7:

设置可以自动选择自动获取，但是获取时必须保证局域网内不存在arp。

或者是咨询网管得到正确的地址

:kaka4: 学习了~~感谢万事达老师的分享

我家现在每隔十分钟左右就会显示到宽带的连接没有成功，连接重新被挂起，重播？重播后就恢复了，但十分钟后又出现同样的问题，这是不是ARP欺骗啊？有方法解决吗？

单机上网不存在arp，如果是单机上网经常断线建议联系相应的网络供应商。

太头疼了,我们小区的用户全部都中arp病毒啦,工程量大了,好几十台电脑啊,有没有什么简单办法啊.

对于自己来说，可以安装瑞星防火墙，绑定网关和本机IP。

不懂哦

好复杂哟.:default11:

详细。学习中···

局域网arp欺骗的解决方法

看看这样设置，行不？

受益~~~

:kaka8: 太深奥拉