路由器ARP映射表下同一个MAC地址出现两个IP地址，请问是怎么回事？这个MAC地址来自我的iPhone手机。请饭友指点，详细。
如果你是通过校园网或小区接入Internet，那么一定听说过MAC地址。什么是MAC地址，MAC地址在这种局域网环境中究竟起到什么作用？下面就来介绍一下MAC地址的知识，MAC地址和IP地址的区别以及MAC地址在实际应用中所涉及到的安全问题。
一、基础知识
　　如今的网络是分层来实现的，
企业局域网，如何在二层交换机上封挡其下面的某一个MAC地址，shutdown端口除外！
我需要执行命令，谢谢~
本帖最后由 www040401 于
19:06 编辑
隔壁无线路由，我不小心知道了密码，但是因为路由绑定了mac，我连接上wifi都上不了网，纠结的想挠墙~~
一不小心，又被我知道了绑定的一个mac地址，现在我想将我电脑
公司的电脑，IP跟MAC地址绑定。上外网时不能用内部网跟邮件，所以经常手动换MAC地址。
求一个脚本能一键更换，谢谢了。
&网内的计算机上，都把网关IP-MAC和其它计算机IP-MAC绑定上，然后再在路由器上把网内的所有计算机IP-MAC绑定上，这样做双向绑定后，能彻底杜绝ARP欺骗问题!
虽然麻烦，但属于一劳永逸治本的方法。
另外，微点推荐在网内的计算机上，绑定自己的IP-MAC，以防止IP
&还有个疑问，“服务器MAC地址”指的是什么？是电信的mac地址吗？？在哪里可以看的呢？？？
/viewthread.php?
326197请问上下两个物理地址哪个是mac地址呢？另一个是什么呢？另外mac地址会不会变的？我在家里不是局域网，在学校是局域网~~
/uploadfiles//636_705.gif
一个免费的全功能扫描器,包括端口和IP地址,MAC地址等,扫描速度极快.
/uploadfiles//636_705.gif
一个免费的全功能扫描器,包括端口和IP地址,MAC地址等,扫描速度极快.
防火墙规则里面，MAC Adress填入，点确定就弹出图1，提示错误，请问是什么原因咯？MAC地址填写正确,，我在家没有接网线，和没有上网有关吗？&&PS:抓抓的局域网规则中有DHCP用户和非DHCP用户的分别，怎么判断自己是不是DHCP用户？我是校园网用户，宿舍一层楼一个局域网，用的固定IP
一台笔记本被偷，能否用MAC地址找回来？
今天看到希赛上有了提了这么一个贴子，“有奖问答：电脑被偷了能通过MAC地址找回来吗？”
看到很似希奇，这里的所有朋友们大家都发挥一下自己的想象，参与一下这个主题的讨论， 如今科学技术很发达，MAC地址作为全球唯一的一个地址，有能力的朋友都来想想办法，或
今天看到希赛上有了提了这么一个贴子，“有奖问答：电脑被偷了能通过MAC地址找回来吗？”
看到很似希奇，这里的所有朋友们大家都发挥一下自己的想象，参与一下这个主题的讨论 。
学校引了一条网线到我们宿舍，应该也是从路由器里连出来的，我们宿舍里有几台电脑，于是又接了一个路由器，在路由器里我们设置了与mac地址绑定，请问这样可以防止其他宿舍里的对我们的arp攻击吗？还是要到网管那里绑定，在自己路由器上可以不？
电脑修改MAC地址的软件比较多，很杂，不想一个一个的试，只想知道几款经典好用的软件，请卡饭各位大侠不吝赐教！
手头有两个本子，一个是联想的，用的无线网卡是5100 AGN，一个是gateway的，用的是3945ABG
由于我是drcom上网，必须绑定mac地址，我本来想得是绑定其中一个，然后另一个改下地址就好了，结果跟学校申请完后，发现这两个网卡都没有改mac的选项啊...百度，google后，好像一致说
K-MAC 是一个修改网卡 MAC 地址的工具。在 arp 攻击越来越普遍的今天，修改网卡 MAC 地址也不失为一个解决办法。
使用该软件可能会给您带来损害，因此在使用前，请先备份记录好网卡的原始地址，以免给您带来损害。
该版本为 1.0.0.6 正式版，支持的系统为 Windows 2K/
我这边上网环境是PPPOE+MAC地址绑定，前天帮人绑定了一个帐号的MAC地址，昨天去看，网卡没换，MAC地址也没手动设置，MAC地址不知道怎么就变了。今天再去看，又变成前天那个MAC地址了。请教下怎么回事？
总不能一个办公室一个办公室的看吧
360提示内网有arp攻击，请问怎样解决，已知对方mac地址，另外服务器和本机分别装什么软件防护，
只装了杀软可以吗
本帖最后由 荷韵诗 于
10:36 编辑
& & 网卡MAC地址修改工具:/file/f58d0ce9d8#
k-mac2.0简体> 详细内容
亲们,假如路由器被封应急备案
摘要:如果您看到本页面，说明网络出现拥塞 用户*******，您好！ 如果您看到本页面，说明网络出现拥塞，您的上网访问将受到一定影响。请尽快致电10060与我公司联系处理。 谢谢您对我公司的支持！ 中国网通（集团）有限公司黑龙江省分公司 网络封堵！ 运营商为了限....
如果您看到本页面，说明网络出现拥塞
用户*******，您好！
如果您看到本页面，说明网络出现拥塞，您的上网访问将受到一定影响。请尽快致电10060与我公司联系处理。
谢谢您对我公司的支持！
中国网通（集团）有限公司黑龙江省分公司
网络封堵！
运营商为了限制路由等共享网络的使用采取的限制手段！
本人在网络上收集了一些解决方案，希望能用得上!
第一套解决方案
解决宽带客户端限制路由器共享上网的方法-mac地址克隆
先确定申请上网的电脑单机状态下已经能够上网。就说明该电脑网卡的MAC地址是合法的MAC地址。
进入系统的MSDOS方式，发布ipconfig/all命令，就可以查找到该电脑网卡的MAC地址。例如：00-50-8D-D1-71-A7。
在查找合法的MAC地址
将外来的引线从单机电脑的网卡上拔下，插入宽带路由器的WAN端口；将多台客户机的网卡与宽带路由器的LAN端口相连。
打开宽带路由器的的电源。在连接宽带路由器的任何一台客户机上启动IE浏览器。
在IE浏览器的地址栏中键入这台宽带路由器IP的地址192.168.1.1。
进入路由器的Web设置页面。
单击配置页面左窗口中&网络参数&按钮，选择其中的&MAC地址克隆&按钮。
出现&MAC地址克隆&的窗口。
在&当前管理PC的MAC地址&的窗口中填入上面找到的&合法的MAC地址&：
00-50-8D-D1-71-A7。
再单击&MAC地址克隆&按钮，这个MAC地址就会填入&MAC地址&的窗口中。最后，重新启动路由器使设置生效。
这样路由器就获得了一个合法的被ISP绑定了的MAC地址。就可以实现多台电脑共享上网了。
注：有一些路由器的&克隆MAC地址&按钮英文为&clonemac&。
附：修改网卡的MAC地址。
经验证明，将局域网内所有电脑网卡的MAC地址进行修改也可以共享上网。
有些宽带提供商为了限制接入用户的数量，在认证服务器上对MAC地址进行了绑定。此时，可先将被绑定MAC地址的计算机连接至路由器LAN端口(但路由器不要连接Modem或ISP提供的接线)，然后，采用路由器的MAC地址克隆功能，将该网卡的MAC地址复制到宽带路由器的WAN端口。
利用宽带路由器的&MAC地址克隆&功能，突破宽带提供商的地址绑定，实现多台计算机共享上网。
以TP-LinkTL-R400+小型路由器为例。从被绑定MAC地址的计算机上进入路由器的Web设置页面后，在主菜单的&基本设置&下选择&初步设置&，在&广域网接口类型&栏中点击&修改&按钮，接着选择&动态IP&。
保存之后，返回&初步设置&页面，在&广域网MAC地址&栏的选项之后有一个文本框，其中的内容便是本机的MAC地址，用户可以直接在文本框中修改此MAC地址，把被绑定的网卡MAC地址填入此处。如果你不清楚网卡的MAC地址，可以选择&CloneMAC（MAC地址克隆）&按钮直接将当前计算机的网卡MAC地址克隆到TL-R400+的广域网端口。保存后重新启动路由器就可以生效了。
注意：在&广域网接口类型&中一定要选择&动态IP&，否则不会出现修改广域网接口的MAC地址和克隆MAC地址选项。如果你使用的是其他接入方式，如静态IP、PPPoE等，则可以在以上设置完成后，再重新进入设置界面进行广域网类型的修改。
第二套解决方案
转&&破解电信封路由
最近ISP提供商封路有的越来越多，进一步侵害用户的利益。
ISP提供商多使用一种叫&网络尖兵&的监控软件屏蔽路由。
我找到一种破解的方法，大家可以试试。
&网络尖兵&是采用多种方法探测用户是否用共享方式上网，从而进行限制，下面我分别进行破解：
一、检查同一IP地址的数据包中是否有不同的MAC地址，如果是则判定用户共享上网。破解的办法是把每台机的MAC地址改为一样；修改的方法很多，如下：
（一）、瞒天过海
1.修改注册表
几乎所有的网卡驱动程序都可以被NdisReadNetworkAddress参数调用，以便从注册表中读取一个用户指定的MAC地址。当驱动程序确定这个MAC地址是有效的，就会将这个MAC地址编程到硬件寄存器中，而忽略网卡固有的MAC地址。我们通过手工修改Windows的注册表就可以达到目的。
在Winodws98下运行Windows的注册表编辑器，展开&HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼Services＼Class＼Net&，会看到类似&0000&、&0001&、&0002&的子键。从&0000&子键开始点击，依次查找子键下的&DriverDesc&键的内容，直到找到与我们查找的目标完全相同的网卡注册表信息为止。
当找到正确的网卡后，点击下拉式菜单&编辑/新建/字符串&，串的名称为&Networkaddress&，在新建的&Networkaddress&串名称上双击鼠标就可以输入数值了。输入你想指定的新的MAC地址值。新的MAC地址应该是一个12位的十六进制数字或字母，其间没有&-&，类似&&的这样的数值（注意，在Windows98和Windows2000/XP中具体键值的位置稍有不同，可通过查找功能来寻找）。
在&NetworkAddress&下继续添加一个名为&ParamDesc&的字串值，它将作为&NetworkAddress&项的描述，数值可以取为&MACAddress&。再把它的内容修改为你想设定的内容。如图所示。这样，我们就成功地修改了网卡的MAC地址，重新启动计算机即可。
2.修改网卡属性
大部分的网卡都可以通过在控制面板中修改网卡属性来更改其MAC地址，在&设备管理器中&，右键点击需要修改MAC地址的网卡图标，并选择&属性/高级&选项卡。在&属性&区，就可以看到一个称作&NetworkAddress&或其他相类似名字的的项目，点击它，在右侧&值&的下方，输入要指定的MAC地址值。要连续输入12个十六进制数字或字母，不要在其间输入&-&。重新启动系统后设置就会生效了。
（二）、釜底抽薪
假如用户使用的是RealTek公司的RTL8139A/B/C/D系列芯片的网卡，有一种更简单的方法修改MAC地址。RealTek公司设计的PG8139软件可以直接修改RTL8139系列网卡的MAC地址，甚至可以让每次启动后网卡的MAC地址都不相同。具体操作如下：
把pg8139.zip解压缩到一个文件夹下，以8139C芯片为例，用记事本打开该目录下的8139c.cfg文件，修改8139c.cfg文件的第一行，将&NodeID&（网卡号）后改为所需要的新值，建议初始值为&00E04C000001&，修改时注意每两位之间至少要留一个空格。
保存后再进入MS-DOS方式（注意，要在纯DOS模式下），在DOS提示符后输入&pg8139/pci8139c.cfg&后再按回车键，此时系统如果提示&ProgrammingEEPROMissuccessful&则说明更改成功。PG8139程序每成功运行一次，在相应的8139c.cfg文件中，系统会自动将&NodeID&的值加1，也就是说，第一次运行时给当前工作站网卡分配的MAC地址为&00E04C000001&，第二次运行时，系统会自动分配为&00E04C000002&，第三次运行时，会自动为&00E04C000003&&&，依此类推，就可以批量地修改网卡的MAC地址，不再需要重复修改8139c.cfg文件了。
如果用户的网卡是RTL8139其他版本的芯片，只要找到相应的.cfg文件修改就行了。
另外，还有一种极端的办法，通过烧录网卡的EEPROM来达到克隆MAC地址的目的。但这样做风险很大，而且操作复杂，即使是有经验的用户也难免在操作中出现错误，不推荐进行这种操作。
（三）、巧借东风
如果是Windows2000/XP的用户，则可以使用免费MAC地址修改软件SMAC。运行SMAC后，窗口中的列表框列出计算机上正处于工作状态的网卡。选定要修改的网卡后，在列表框下方的六个输入框中输入新的MAC地址后，点击右侧的&UpdateMAC（修改MAC地址）&，即可完成MAC地址的修改。
修改MAC地址的工具有很多，但大多数都只适用于Windows2000/XP，推荐用&超级兔子魔法设置&，因为不但简单易用，而且在Windows9x系统中使用同样有效。
修改完成后，要使设置生效，一般的办法是重新启动系统。还有一种简单的办法不需要重新启动系统，在&设备管理器&中，选定网络适配器图标，点击鼠标右键，选择&禁用&（请注意操作后，状态栏是否已显示为&禁用&）。然后再右键单击选定的网络适配器，在右键菜单中选择&启用&。这样就能使修改后的设置生效。
二、通过SNMP（简单网络管理协议）来发现多机共享上网。
有些路由器和ADSL猫内置SNMP服务，通过相应的工具是可以查看用户有没有共享的，下面是一张网友提供的通过相应工具查看一个ADSLMODEM中连接用户数的效果图，其中可以很清楚地看到共享的用户数。
要想知道自己的路由器或大猫是否开放了SNMP服务，随意找一个扫描软件(ipscan、superscan&&)扫描一下，如果开放了161端口的就是内置有SNMP服务，解决的办法是把SNMP用?61端口禁止就行了。
使用路由器或打开ADSL猫的路由模式共享上网的朋友可以进入管理界面有关闭SNMP选项的关掉它。如果猫的管理界面无关闭SNMP选项的只好买一个没有SNMP服务的路由器，例如TP-LINKTL-R400，放到adslmoden和hub中间，在该路由器中再做一个NAT服务，这样进到ADSL猫中的就是一个地址，这样就解决了共享上网。
三、监测并发的端口数，并发端口多于设定数判定为共享。
这是一个令人哭笑不得的设定，&网络尖兵&不停扫描用户打开的端口数，多于设定值的就判断是共享，有时连按几次F5键它是认为是共享，连单用户上网也受到了影响，这个就没法破解了(除非你把网络尖兵黑了)，俺这里的解决办法是装成无辜的用户到ISP的客服电话大骂，并声明搞不好就换ISP，一会儿网络就正常了；
四、&网络尖兵&还使用了未知的方法从共享的计算机中探测到共享的信息，目前解决的办法是所有共享的客户机均要安装防火墙，把安全的级别设为最高，把IP配置规则里面所有的允许别人访问本机规则统统不要，允许PING本机不要，防止ICMP,IGMP攻击也要勾眩如果是WINXP,要打开网卡的网络防火墙。采取以上破解的办法后，在自己的局域网不能看到本机，而且WINXP打开网卡的网络防火墙后，在QQ不能传送文件，网速有所减慢，但总算又可以共享了。
网络尖兵，何方神圣
其实NetSniper网络尖兵并不神秘。他是一套由上海某网络系统公司在数年前开始推出的一套维护管理系统。
网络尖兵整体分为三部分：网络尖兵控制器、网络配置管理器和日志管理器。
其中硬件设备&网络尖兵控制器已经发展为I和II两种型号。I适用于检测和控制私拉专线；II适用于检测和控制共享上网和盗用MAC地址上网。
网络配置管理器用于配置和管理网络尖兵控制器的相关参数。日志管理器用于接收和处理网络尖兵控制器发送的日志信息。
在线路上安置标准机架式的网络尖兵硬件后，网络服务商与管理者可以进行相当全面的设置。
网络尖兵基于TCP/IP环境，它可以自动检测出网络中未经允许架设的代理服务器或路由器，阻止盗用他人MAC地址的行为，并对这些代理服务器的IP包以及流向此类路由器的IP包进行自动拦截。
最终可以有效避免用户逃费或私自运营的情况，网络服务商将拥有一个可管理的宽带网络。正是基于此，所以各地的网络服务商开始陆续启用了网络尖兵。
监控原理，尚未公开
深得服务商青睐的网络尖兵到底是通过什么方式监视用户呢？共享上网又是如何被发现的呢？网络上展开了对网络尖兵的讨论。
因为涉及到商业利益，所以设备供应商与网络服务商都没有公开网络尖兵的工作原理。普通网民能了解到的信息都来自于非官方的互联网。
ADSL共享上网一般是通过路由NAT方式，经过路由转换后访问外网的内网计算机的IP地址都变成了192.168.0.1，而且MAC地址也转换成了ADSLModem的MAC地址。直接在ADSL出口检查NAT转换后的数据包是很难全面监控的。
网络尖兵通过类似superscan之类的工具软件对ADSL猫进行扫描，发现开着161端口的PC数量。因为161端口是SNMP（简单网络管理协议）的服务端口，当其数量多于网络服务商设定数判定为共享。
还有人认为网络尖兵在使用了未知的方法从共享的计算机中探测到共享的信息，当判断为共享上网也会报警。在发现非法用户时，NetSniper可以发出特定的控制包，使非法用户处于&离线&状态。
网络爆发，攻防大战
虽然对其工作原理是众说纷纭，但网友对网络尖兵大多持抵制态度，虽然厂商宣称，作为一种检测设备，网络尖兵以数据接收为主，不发送数据，所以对带宽占用量几乎为零。但还是有不少人在网上抢着批评网络尖兵的弊端。
最大的罪状自然是限制了网络自由，不能让用户与他人共享上网。如果你长期和亲朋好友、邻居一起组网共用ADSL线路，会被网络服务商发现并警告。
其不停扫描用户打开的端口数，多于设定值的就判断是共享，有时连按几次F5键它是认为是共享，连单用户上网也受到了影响。
其不停扫描影响网速，造成浏览网页经常要刷新几次；但某些网页比较复杂，要调用几个服务器文件时它也当你是共享，部分页面不能正常显示。
编辑提醒:请注意查看&如果您看到本页面，说明网络出现拥塞&一文是否有分页内容。原文地
系统教程推荐
系统教程排行
操作系统推荐
软件下载推荐
版权所有 粤ICP备号-3查看: 4182|回复: 0
关于近期PROE安装时MAC地址总改变的问题
主题帖子积分
ARP病毒入侵网络原理
近些天，ARP病毒入侵网络，使大多网吧及家庭都陷入苦难！！中招现象：掉线~MAC地址被改变造成PROE的CRACK文件不可用。`
在这里我在网上找到的相关资料，提供给大家研究一下~~
解决ARP攻击的方法
【故障原因】
　　局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。
　　【故障原理】
　　要了解故障原理，我们先来了解一下ARP协议。
　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。
　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
　　每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。　　
　　主机 IP地址 MAC地址
　　A 192.168.16.1 aa-aa-aa-aa-aa-aa
　　B 192.168.16.2 bb-bb-bb-bb-bb-bb
　　C 192.168.16.3 cc-cc-cc-cc-cc-cc
　　D 192.168.16.4 dd-dd-dd-dd-dd-dd　　
　　我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
　　从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。
　　A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
　　做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。
　　D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。
　　【故障现象】
　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。
　　切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。
　　由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。
　　【HiPER用户快速发现ARP欺骗木马】
　　在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）：
　　MAC Chged 10.128.103.124
　　MAC Old 00:01:6c:36:d1:7f
　　MAC New 00:05:5d:60:c7:18
　　这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
　　如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。
　　【在局域网内查找病毒主机】
　　在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN（下载地址：）工具来快速查找它。
　　NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。
　　命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即
　　192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。
　　NBTSCAN的使用范例：
　　假设查找一台MAC地址为“000d870d585f”的病毒主机。
　　1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
　　2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C:
btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。　　
　　C:Documents and SettingsALAN&C:
btscan -r 192.168.16.1/24
　　Warning: -r option not supported under Windows. Running without it.　　
　　Doing NBT name scan for addresses from 192.168.16.1/24　　
　　IP address NetBIOS Name Server User MAC address
　　------------------------------------------------------------------------------
　　192.168.16.0 Sendto failed: Cannot assign requested address
　　192.168.16.50 SERVER 00-e0-4c-4d-96-c6
　　192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
　　192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78
　　192.168.16.175 JC 00-07-95-e0-7c-d7
　　192.168.16.223 test123 test123 00-0d-87-0d-58-5f　　
　　3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
　　【解决思路】
　　1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。
　　2、设置静态的MAC--&IP对应表，不要让主机刷新你设定好的转换表。
　　3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。
　　4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
　　5、使用&&proxy&&代理IP的传输。
　　6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。
　　7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。
　　8、管理员定期轮询，检查主机上的ARP缓存。
　　9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
　　建议用户采用双向绑定的方法解决并且防止ARP欺骗。
　　1、在PC上绑定路由器的IP和MAC地址：
　　1）首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为aa局域网端口MAC地址&）。
　　2）编写一个批处理文件rarp.bat内容如下：
　　@echo off
　　arp -d
　　arp -s 192.168.16.254 00-22-aa-00-22-aa
　　将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
　　将这个批处理软件拖到“windows--开始--程序--启动”中。 IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题 1、KAV(卡巴斯基)，可杀除该病毒，病毒命名为： TrojanDropper.Win32.Juntador.c 杀毒信息：07.02.:00 C:\Documents and Settings \Administrator\Local Settings\Temporary Internet Files \Content.IE5\B005Z0K9\Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c 2、瑞星可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.f
-----------------------------------------------------------------------------------------------------
ARP病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。
一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:WINNTsystem32&arp -a
Interface: 192.168.0.193 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.0.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.0.24实际上为有病毒的机器，它伪造了192.168.0.1的MAC地址。
二、在192.168.0.24上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:WINNTsystem32&arp -a
Interface: 192.168.0.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。
三、如果主机可以进入dos窗口，用arp –a命令可以看到类似下面的现象：
C:WINNTsystem32&arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic
该病毒不发作的时候，在代理服务器上看到的地址情况如下：
C:WINNTsystem32&arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。
解决办法：
一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。
1． 在所有的客户端机器上做网关服务器的ARP静态绑定。
首先在网关服务器（代理主机）的电脑上查看本机MAC地址
C:WINNTsystem32&ipconfig /all
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然后在客户机器的DOS命令下做ARP的静态绑定
C:WINNTsystem32&arp –s 192.168.0.1 00-02-ba-0b-04-32
注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。
2． 在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定
首先在所有的客户端机器上查看IP和MAC地址，命令如上。
然后在代理主机上做所有客户端服务器的ARP静态绑定。如：
C:winntsystem32& arp –s 192.168.0.23 00-11-2f-43-81-8b
C:winntsystem32& arp –s 192.168.0.24 00-50-da-8a-62-2c
C:winntsystem32& arp –s 192.168.0.25 00-05-5d-ff-a8-87
。。。。。。。。。
3． 以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。
二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定
三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：发现的病毒是变速齿轮2.04B中带的，病毒程序在
可下载到：
1、 KAV(卡巴斯基)，可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.c杀毒信息：07.02.:00 C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5B005Z0K9Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c
2、 瑞星可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.f
3、 另：别的地市报金山毒霸和瑞星命名:“密码助手”木马病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有类似情况
主题帖子积分
PROE安装时会用到网卡的MAC地址，在网上查完资料后得到更改MAC地址的病毒是ARP病毒，关于ARP病毒本人留意了一段时间了，解决的方法也搜集了一些。大家可以讨论一下自己在解决这方面问题时的经验，如果解决了MAC地址总被改变也就是说PROE的CRACK文件才能保证正常运行。
Powered by}