瑞星卡卡安全论坛

最近瑞星防火墙老是叫，提示收到ARP欺骗包，最麻烦的是局域网网速明显下降而且还不会经常掉线，由于本人对这方面知识欠缺，现向大家请教：
1.局域网掉线、网速下降和ARP欺骗包有关系吗？
2.局域网内用户应该怎样设置防火墙才会阻止这种情况？
3.如何找到根源所在，彻底不再收到ARP欺骗包？
小弟在此先谢大家了！！

相关日志：（**为相同值）就在下面两个MAC地址反复，帮忙分析！

详细内容2008-03-25 09:36:44, 收到ARP欺骗包;IP地址:192.168.1.1;原MAC:0-**-f-47-94-f4;冲突MAC:0-**-f-7e-aa-e4;规则名称:;

详细内容2008-03-25 08:47:49, 收到ARP欺骗包;IP地址:192.168.1.1;原MAC:0-**-f-7e-aa-e4;冲突MAC:0-**-f-47-94-f4;规则名称:;


[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon)

Rising,I need your help!!

下载个 ARP防火墙  就OK了

ARP欺骗 当然你会经常掉线了  就是 有人在限制你

瑞星的不好使吗？

瑞星防火墙能起到保护本机安全的作用，不能找到中毒电脑。

参考此帖：http://forum.ikaka.com/topic.asp?board=118&artid=8407450的设置

根本的解决方法还是要找到局域网里的中毒电脑，升级断网杀毒。这方面让网管去做就可以了。

就是想知道怎么去找啊，哪有详细点的步骤可以借鉴一下哈``

想找中毒的电脑？那就从网上下个抓包工具之类的软件，看数据流量就知道了。

我说一下我曾经遇到过的类似现象：

1、有天我正在公司上网，突然防火墙报ARP欺骗。上网查询了一下后，下载了个“ARP保护神”小工具，它可以查出是哪台机（IP）在与你冲突。查出是内网IP末位数为101的机子。找遍了公司里所有的电脑，都没找到，只剩最后一台没查了——老板的电脑。跑过去一看，果然他的机子是101！！马上下了一些免费的清理软件，清理出一大裤衩的蠕虫、木马后，我的报警也解除了~~~
（详情请参看我曾在卡卡论坛上发的另一篇帖子：http://forum.ikaka.com/topic.asp?board=40&artid=8398897）
　　这是一起因病毒引起的ARP报警。

2、有天公司突然停电，过了好几个小时才恢复供电。开机不久就ARP报警！一看，是103！但我的机子就是103啊！！找来找去，是另一位同事的。但是他正在游戏里跟人PK在关头，无暇理我。我只好回到我电脑上，随手查看了一下我自己的内网IP——晕，我的IP变成106了！重新设置防火墙，ARP解除。
　　这是一起因停电，服务器重启后，地址重新分配，造成与防火墙原设置的地址不一致引起的。

关于瑞星2008的arp提示完整设置
http://forum.ikaka.com/topic.asp?board=40&artid=8383852

彻底不再收到ARP欺骗包？

MAC:0-**-f-7e-aa-e4这个是网关的，那个MAC找不到

网关的ip和MAC最好咨询网管，因为如果局域网已经有ARP欺骗了，那自动获取的信息也有可能是假的。

【回复“万事达”的帖子】网关的IP和MAC能查出，分别是192.168.1.1， 0-**-f-7e-aa-e4。但在有的机器上查看却会发现不同的网关MAC，这是为什么？而且此时他上不了网。如何查找根源？

彻底阻挡ARP欺骗包？

【回复“MAWANGUANG”的帖子】有什么好办法吗？感觉好像是设置有问题

引用:

【nevercool的贴子】【回复“万事达”的帖子】网关的IP和MAC能查出，分别是192.168.1.1， 0-**-f-7e-aa-e4。但在有的机器上查看却会发现不同的网关MAC，这是为什么？而且此时他上不了网。如何查找根源？ ………………

这说明已经中了arp了，这台电脑清空临时文件夹，断网杀毒，然后安装瑞星防火墙，把正确的网关IP和MAC绑定到静态规则里，具体方法版主在上边提供了链接参考一下。

早已经阻止了，关键的问题是现在如何去定位哪台机器中的啊？？想要这方面的答案。。

我也遇到了相同的问题

引用:

【nevercool的贴子】早已经阻止了，关键的问题是现在如何去定位哪台机器中的啊？？想要这方面的答案。。 ………………

一般是通过卡卡安全助手的启动项管理发现可疑启动项.

假如楼主不太熟悉,最好还是通知局域网中的所有电脑,升级杀毒软件(正版的),或者使用在线查毒功能吧;

可以使用瑞星在线查毒,或者是使用百度杀毒(shadu.baidu.com)