上午 01:49:47 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:49:53 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:04 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:08 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:09 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:09 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:10 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:17 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:17 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:18 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:20 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:38 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:39 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:50:56 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:04 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:08 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:09 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:09 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:10 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:10 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:11 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:11 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:12 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:12 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:13 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:13 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:20 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:21 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:22 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:23 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:33 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:34 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:51:56 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:52:01 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:52:04 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:52:09 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:52:10 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:52:13 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:52:18 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:52:21 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:52:39 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:52:39 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:53:05 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:53:21 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 01:54:04 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 02:08:47 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 02:29:08 攻击者MAC地址:00-04-E2-A0-C7-6D
上午 02:29:11 攻击者MAC地址:00-04-E2-A0-C7-6D

以上是我下的一个防攻击的软件记录的,请问除了找网管封掉对方的MAC地址,还有一劳永逸的好办法吗?跪求诸位斑竹/大侠的救命良策.<即使封掉了对方,攻击者还会换别的MAC地址继续攻击我,而且封MAC地址很花时间的,我已经封过对方3个了>

被攻击吊线后 只掉几秒钟 然后又能上了 再被攻击 再掉
.............

啊帮不上忙...

你的局域网内有机器中病毒了

“网吧传奇杀手”这种病毒使用ARP 攻击方式，对内网的PC进行攻击，使内网PC机的ARP表混乱，导致内网某些PC机无法上网。目前路由器无法抵挡这种病毒的攻击，因为他们的攻击方式是攻击内网的PC机，只有请用户从内网的PC机下手防范。

这种病毒的显现为内网的部分PC机不能上网，或者所有人不能上网，最重要的特点是不可以上网的PC机的ARP表会乱掉，当我们发现内网某台PC无法上网时，进入到DOS窗体，然后输入命令ARP -A可以看到同一个MAC地址对应多个IP就是有问题了，具体介绍如下。

近期部分网吧反映频繁断线并且网速较慢，经过调查咨询后确认：这种情况是由于一种名为“网吧传奇杀手Trojan.PSW.LMir.qh ” 的病毒爆发引起的。该病毒破解了《传奇2》的加密解密算法，通过截取局域网中的数据包，然后分析《传奇》游戏通讯协议的方法截获用户的信息。运行这个病毒，就可以获得整个局域网中传奇玩家的详细信息，盗取用户帐号信息。

现象:

网吧短时间内断线(全断或部分断),在很短的时间内会自动恢复.这是因为MAC地址冲突引起的,当病机的MAC映射到主机或者路由器之类的NAT设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题.多发于传奇游戏特别是私服务外挂等方面.

解决办法：

1、        由于此类病毒采用arp攻击。因此在病毒发作时，网络管理员可任找一台机器，开启DOS窗口并输入“arp -a” 命令, 会发现很多不同IP地址有着相同的MAC地址表：

2、        Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.61 00-e0-4c-8c-9a-47 dynamic
192.168.0.70 00-e0-4c-8c-9a-47 dynamic
192.168.0.99 00-e0-4c-8c-81-cc dynamic
192.168.0.102 00-e0-4c-8c-9a-47 dynamic
192.168.0.103 00-e0-4c-8c-9a-47 dynamic
192.168.0.104 00-e0-4c-8c-9a-47 dynamic

可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后网络管理员在DOS窗口中输入“ipconfig /all” 命令，察看每台机器的MAC地址：

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO
Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.186.30.158
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.186.30.1
DNS Servers . . . . . . . . . . . : 61.147.37.1

通过以上步骤定位到染毒的机器，予以隔离处理。

2、网吧管理员检查局域网病毒，安装杀毒软件（金山毒霸/瑞星，必须要更新病毒代码），对机器进行病毒扫描。

3、没有完全解决方案出现之前，请停止传奇私服服务及客户端游戏。

4、采用工具软件（或者arp －s 方法）在服务器上将MAC地址和IP绑定，或者使用能将MAC地址和IP地址进行绑定的交换机来避免此类情况发生。

5、补充说明：这是全国性的问题，该病毒从3月初开始在全国大面积爆发。

安全建议：

1、给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)

2、给系统管理员帐户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合；也可以禁用/删除一些不使用的帐户

3、经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，不妨通过使用网络防火墙等其它方法来做到一定的防护

4、关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务

5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。

 

欣向用户解决方案：

  由于cisco路由器均对ARP攻击“先天免疫”，所以您只需要按照如下方法做PC上的单向绑定就可以了。

1．  在PC上做MAC－IP绑定，将网关IP地址与MAC地址设为静态。

2．  登陆路由器配置界面，在系统状态→联机状态 中查看路由器的LAN口MAC地址。（例如：LAN口IP：192.168.1.254  MAC：00-0f-7a-01-02-03）

3．  编写批处理文件rarp.bat： 
　　1）新建记事本，输入如下

@echo off 
　　arp -d 
　　arp -s 192.168.1.254 00-0f-7a-01-02-03 

 

将文件中的IP地址和MAC地址修改为您网络中网关的IP地址和MAC地址即可。


        2）选择记事本中的“文件”→“另存为”，文件名为rarp；并修改文件名后缀为.bat。
　　

  3）将这个批处理文件放到每台PC机的启动目录：“windows--开始--程序--启动”目录中。如果是网吧可以通过（万象或者美屏等）管理软件发送文件到每台PC，并退出还原卡保存设置。

 

4）当您需要修改该批处理文件时，你只需鼠标右键单击rarp.bat文件，选择“编辑”即可修改。

 

注：以上方案在WIN 2000和WIN XP上经过反复验证，工作正常。

    您还可以到本站下载中心免费下载欣向巡路之ARP工具，实时查找ARP病毒源。