antiarp电脑一开机就出现发现新硬件xAntiArp Miniport，提示安装，很是影响开机速度，怎么办？

antiarp防火墙显示对外ARP攻击？查不出中毒

有可能是你的网关最近做调整 你的MAC地址变了，你去调查一下，是不是你们局域网 的网关做了调整，而你的ARP缓存没更新，你可以试试开始-运行-CMD.EXE-输入arp -d 清除你的缓存让他自动更新下你网关的MAC地址~

antiarp能防止所有的软件进行ARP欺骗吗?

一、ARP病毒 ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。

但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。

二、ARP病毒发作时的现象 网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。

三、ARP病毒原理 3.1 网络模型简介 众所周知，按照OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能，如图1： 图1 OSI网络体系模型 然而，OSI的模型仅仅是一个参考模型，并不是实际网络中应用的模型。

实际上应用最广泛的商用网络模型即TCP/IP体系模型，将网络划分为四层，每一个层次上也运行着不同的协议和服务，如图2。

图2 TCP/IP四层体系模型及其配套协议 上图中，蓝色字体表示该层的名称，绿色字表示运行在该层上的协议。

由图2可见，我们即将要讨论的ARP协议，就是工作在网际层上的协议。

3.2 ARP协议简介 我们大家都知道，在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。

MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0B-2F-13-1A-11就是一个MAC地址。

每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这个重要的任务将由ARP协议完成。

ARP全称为Address Resolution Protocol，地址解析协议。

所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

这时就涉及到一个问题，一个局域网中的电脑少则几台，多则上百台，这么多的电脑之间，如何能准确的记住对方电脑网卡的MAC地址，以便数据的发送呢？这就涉及到了另外一个概念，ARP缓存表。

在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。

当这台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。

下面，我们用一个模拟的局域网环境，来说明ARP欺骗的过程。

3.3 ARP欺骗过程 假设一个只有三台电脑组成的局域网，该局域网由交换机(Switch)连接。

其中一个电脑名叫A，代表攻击方；一台电脑叫S，代表源主机，即发送数据的电脑；令一台电脑名叫D，代表目的主机，即接收数据的电脑。

这三台电脑的IP地址分别为192.168.0.2，192.168.0.3，192.168.0.4。

MAC地址分别为MAC_A，MAC_S，MAC_D。

其网络拓扑环境如图3。

图3 网络拓扑 现在，S电脑要给D电脑发送数据了，在S电脑内部，上层的TCP和UDP的数据包已经传送到了最底层的网络接口层，数据包即将要发送出去，但这时还不知道目的主机D电脑的MAC地址MAC_D。

这时候，S电脑要先查询自身的ARP缓存表，查看里面是否有192.168.0.4这台电脑的MAC地址，如果有，那很好办，就将 封装在数据包的外面。

直接发送出去即可。

如果没有，这时S电脑要向全网络发送一个ARP广播包，大声询问：“我的IP是192.168.0.3，硬件地址是MAC_S，我想知道IP地址为192.168.0.4的主机的硬件地址是多少？” 这时，全网络的电脑都收到该ARP广播包了，包括A电脑和D电脑。

A电脑一看其要查询的IP地址不是自己的，就将该数据包丢弃不予理会。

而D电脑一看IP地址是自己的，则回答S电脑：“我的IP地址是192.168.0.4，我的硬件地址是MAC_D”需要注意的是，这条信息是单独回答的，即D电脑单独向S电脑发送的，并非刚才的广播。

现在S电脑已经知道目的电脑D的MAC地址了，它可以将要发送的数据包上贴上目的地址MAC_D，发送出去了。

同时它还会动态更新自身的ARP缓存表，将192.168.0.4－MAC_D这一条记录添加进去，这样，等S电脑下次再给D电脑发送数据的时候，就不用大声询问发送ARP广播包了。

这就是正常情况下的数据包发送过程。

这样的机制看上去很完美，似乎整个局域网也天下太平，相安无事。

但是，上述数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中那台电脑，其发送的ARP数据包都是正确的。

那么这样就很危险了！因为局域网中并非所有的电脑都安分守己，往往有非法者的存在。

比如在上述数据发送中，当S电脑向全网询问“我想知道IP地址为192.168.0.4的主机的硬件地址是多少？”后，D电脑也回应了自己的正确MAC地址。

但是当此时，一向沉默寡言的A电脑也回话了：“我的IP地址是192.168.0.4，我的硬件地址是MAC_A” ，注意，此时它竟然冒充自己是D电脑的IP地址，而MAC地址竟然写成自己的！由于A电脑不停地发送这样的应答数据包，本来S电脑的ARP缓存表中已经保存了正确的记录：192.168.0.4－MAC_D，但是由于A电脑的不停应答，这时S电脑并不知道A电脑发送的数据包是伪造的，导致S电脑又重新动态更新自身的ARP缓存表，这回记录成：192.168.0.4－MAC_A，很显然，这是一个错误的记录（这步也叫ARP缓存表中毒），这样就导致以后凡是S电脑要发送给D电脑，也就是IP地址为192.168.0.4这台主机的数据，都将会发送给MAC地址为MAC_A的主机，这样，在光天化日之下，A电脑竟然劫持了由S电脑发送给D电脑的数据！这就是ARP欺骗的过程。

如果A这台电脑再做的“过分”一些，它不冒充D电脑，而是冒充网关，那后果会怎么样呢？我们大家都知道，如果一个局域网中的电脑要连接外网，也就是登陆互联网的时候，都要经过局域网中的网关转发一下，所有收发的数据都要先经过网关，再由网关发向互联网。

在局域网中，网关的IP地址一般为192.168.0.1。

如果A这台电脑向全网不停的发送ARP欺骗广播，大声说：“我的IP地址是192.168.0.1，我的硬件地址是MAC_A”这时局域网中的其它电脑并没有察觉到什么，因为局域网通信的前提条件是信任任何电脑发送的ARP广播包。

这样局域网中的其它电脑都会更新自身的ARP缓存表，记录下192.168.0.1－MAC_A这样的记录，这样，当它们发送给网关，也就是IP地址为192.168.0.1这台电脑的数据，结果都会发送到MAC_A这台电脑中！这样，A电脑就将会监听整个局域网发送给互联网的数据包！ 实际上，这种病毒早就出现过，这就是ARP地址欺骗类病毒。

一些传奇木马（Trojan/PSW.LMir）具有这样的特性，该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒，这样中毒电脑便可嗅探到整个局域网发送的所有数据包，该木马破解了《传奇》游戏的数据包加密算法，通过截获局域网中的数据包，分析数据包中的用户隐私信息，盗取用户的游戏帐号和密码。

在解析这些封包之后，再将它们发送到真正的网关。

这样的病毒有一个令网吧游戏玩家闻之色变的名字：“传奇网吧杀手”

AntiArp.exe [3280]中发生未处理的win 32 异常

你应该安装了AntiARPSniffer软件。

antiarp.exe是这个软件的执行程序，AntiARPSniffer是一款反ARP欺骗攻击软件。

该软件100%防御所有利用ARP技术的恶意程序，发现疑常并能自动重写ARP数据；具备追踪ARP攻击者的功能，能够追踪到对方的IP地址；自动修复ARP数据，并保持网络永不中断。

你出现这种错误估计是你安装的软件中有冲突，你是否安装了两个类似的防火墙？ 1、 ARP是什么？ARP欺骗是什么？ ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。

是系统进行通讯的基础，是以信任为基础的，如果破坏了这个信任，那就形成ARP欺骗了。

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。

是系统进行通讯的基础，是以信任为基础的，如果破坏了这个信任，那就形成ARP欺骗了。

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。

是系统进行通讯的基础，是以信任为基础的，如果破坏了这个信任，那就形成ARP欺骗了。

2、 ARP的具体现象是什么？其危害是什么？ 具体的现象有几种：具体的现象有几种：(1) 内网单机或局部掉线，重启、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接。

具体的现象有几种：(1) 内网单机或局部掉线，重启、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接。

(2) 网络闪断，但马上可以连接上。

(3) 全部掉线，必须重新启动路由才可上网。

(4) 内网上网用户丢号问题严重，频繁出现丢号现象。

其具体的危害为影响顾客正常上网，帐号频繁丢失，损害顾客群，导致网吧经济效益受影响。

有时候网吧没有出现频繁掉线情况，但帐号频繁丢失也是中了ARP欺骗的现象，一般都是为闪断后马上可以连接上，但所上网使用的代理已经更换为伪装的路由器了。

这样是导致丢号的真实原因。

3、 如何进行ARP问题的检测或判断，一般监测ARP问题的软件都为什么？ （1）检测ARP问题方法很简单，一般如果出现掉线问题的时候，如果不是大面积掉线时，重新启动计算机、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接，这样的情况基本可以判断为ARP欺骗攻击。

（1）检测ARP问题方法很简单，一般如果出现掉线问题的时候，如果不是大面积掉线时，重新启动计算机、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接，这样的情况基本可以判断为ARP欺骗攻击。

（2）网络不稳，时常出现闪断，但是网络马上都可以继续连接，重起某一台机器会导致全网掉线也基本可以判断为ARP欺骗攻击，重启的那台计算机为ARP欺骗伪装路由器。

（1）检测ARP问题方法很简单，一般如果出现掉线问题的时候，如果不是大面积掉线时，重新启动计算机、禁用本地连接后重新启用、用命令输入arp –d后，都可以恢复网络连接，这样的情况基本可以判断为ARP欺骗攻击。

（2）网络不稳，时常出现闪断，但是网络马上都可以继续连接，重起某一台机器会导致全网掉线也基本可以判断为ARP欺骗攻击，重启的那台计算机为ARP欺骗伪装路由器。

（3）内网用户频繁丢号，但单机查不出任何木马和盗号程序，这个时候基本也可以判断为ARP欺骗。

（4）经常性的出现全网掉网，但重新启动路由器，可以恢复上网，也基本可以判定为ARP欺骗攻击。

（5）网吧已经进行过IP-mac绑定，但是仍然出现以上情况，还是可以判断为arp攻击现象。

因为IP-mac绑定根本不可以解决arp欺骗攻击问题。

一般可以用到的监测软件为：网络执法官，欣向检测程序等等 4、 ARP产生的几种原因是什么？ （1） 目的：盗号、破坏（1） 目的：盗号、破坏ARP盗号原理：（1） 目的：盗号、破坏： 欺骗机A 对网络内发送信息 ——“我是路由器，你们得通过我上网”，然后把自己伪装成路由器，然后下面的机器就闪断一下，但马上就能上网了，可是一上网所有的数据都是通过伪装的欺骗机，经过伪装的路由机的相关软件的分析解答，这样号就丢了，这个时候把欺骗机一重新启动，或者一关闭，马上全网都掉线了，这个情况基本很多人都会丢号的了。

现在一段时间这种盗号情况在网吧出现的比较频繁，也是影响网吧正常生意的一大杀手。

利用ARP攻击进行破坏： QQ第六感、网络执法官、网络剪刀手、p2p终结者、ARP攻击器、天下网盟的一个网友发的ARP攻击测试器。

有些不法分子利用ARP问题的可操作性进行对网吧的破坏，以达到其不法的目的。

造成后果有单机或局部计算机掉线、闪断，频繁闪断，但可马上连接上，全局掉线。

一般其可利用的部分软件为： 5、 几种混淆ARP的情况是什么？ 魔波：一种新型病毒，针对个人用户pppoe拨号频繁掉线，现在已经有官方补丁了。

Ddos洪水攻击：通过海量数据包发送堵死通讯端口导致数据不能正常通讯，产生掉线，一般发生在外网比较频繁，内网很少发生。

外网掉线：掉线的时候用命令ping 内网网关正常 ，ping 外网DNS或者外网网关出现断流或丢包，这属于外网数据包异常，外网的问题，出现这个问题请速度与电信供应商联系。

6、 ARP的影响。

频繁的掉线、不稳定的网络、经常的被盗号，会严重影响网吧的声誉，也会让网吧的经济受到直接的损害，所以推荐网吧业主针对ARP问题要以防为主。

所谓“忘羊补牢，为时以晚”，因为网吧的客源如果受损失后，想恢复正常客源是需要时间的，这个时间网吧所遭受的经济损失是巨大的。

很多网吧都在经历过大范围的ARP问题之后痛定思痛，彻底解决ARP问题，那么就请各位在网吧还安全的时候使用ARP卫士进行防范，以保护您正常安全绿色的网络。

7、 ARP的解决方法。

ARP卫士原理： 他制作了个虚拟的驱动设备，专门针对arp的，从控制端上把所有正常的机器的列表搜集全后，建立白名单，所有正常的，在白名单内的数据包可以通过ARP防御的虚拟设备，不正常的直接拦截，感觉他的原理和效果都比较让我满意。

（推荐） Anti Arp sniffer原理： 用IP-mac地址绑定为基础，发现arp欺骗数据包时，通过软件的周期性命令arp -d清除ARP缓存列表，达到清除ARP故障问题。

使用测试软件：QQ第六感、ARP攻击测试器等相关软件的测试，ARP数据包的单发和多发，Anti ARP sniffer都不能够很好的进行防御，掉线次数频繁，仍然会将欺骗主机伪装的路由当成正常路由进行上网，导致帐号丢失。

（不推荐） ARP保护神、IP-mac绑定等方法经测试效果很差，基本都是利用IP-MAC地址进行绑定保护，使用测试软件和现实实测，效果不好。

同时进行IP-mac地址绑定后，也使路由变成了一个发送ARP欺骗数据包的大攻击源，为了保证网络内的计算机时时能用正常的ip-mac地址上网，路由会不断发送ARP列表数据包，增加了路由的承载负荷，导致网络速度拖慢或路由死机频繁，这个现象用网络执法官可以查看到. 参考文献： /yeatsfeng/blog/item/58dcd2cd2df169500fb3

朋友给发过来一个软件AntiArp是什么软件？

彩影网盾网络版V2.0(Anti ARP Sniffer网络版),这是一款防御、监控ARP攻击的软件平台,通过部署彩影网盾能自动对虚假的ARP数据进行拦截并找出攻击源，能彻底防御所有利用ARP技术的程序,对于突发ARP攻击事件非常有效。

软件核心部分完全嵌入在操作系统驱动层

用ANTIARP能防御ARP欺骗吗?

antia的意思！ n. 1. 【口】反对者,持反对论者[C] They refused to join forces with the antis. 他们拒绝与反对派合作。

prep. 1. 【口】反对 He has always been anti racial discrimination. 他一贯反对种族歧视。

两个合起来意思就很明显。

反对，对抗arp呵呵这样是不是很容易？还有就是用这个软件的确是可以防御的，只是并不能彻底！如果要彻底的，必须找到欺骗的源头！把源头清除了，这样才可以！找源头的办法有很多，你可以查看到底哪些机的MAC都指向哪台机，并且，清掉后再arp -a 查看手还是一样的话这个MAC对应的主机很可能就是源头!

电脑一开机就出现发现新硬件xAntiArp Miniport，提示安装，很是影响开机速度，怎么办？

1. 进入控制面版，卸载当前已经安装的ARP防火墙。

（如果没有就跳过） 2. 进入 网上邻居属性页 > 选择网卡属性 > 定位到 "AntiARP Firewall Driver" > 卸载 （如果没有就跳过） 3. 进入 网上邻居属性页 > 选择网卡属性 > 定位到 "AntiARP NDIS Protocol Driver" > 卸载 （如果没有就跳过） 4. 点击 开始 > 运行 > 输入cmd，在命令行下运行以下命令 findstr -m -i "antiarp" %systemroot%infoem*.inf > antiarp.tmp for /F "delims=." %i in (antiarp.tmp) do @del %i.* del antiarp.tmp 5. 备份注册表 6. 打开注册表，用"antiarp"作为关键字搜索，把搜索到的条目全部删掉。

7. 打开注册表，用"{8E19A3DB-3813-40A5-B9C2-BAD8E85787B6}"作为关键字搜索，把搜索到的条目全部删掉。

8. 重起系统