我们是大办公室局域网，上网老提示有ARP攻击，上面给出了对方的IP地址（提示说有可能是伪造的），还有MAC地址，请问什么是MAC地址，能找出元凶是谁吗？

frankhlin

1、已知中毒机器的MAC地址的情况下，可用NBTSCAN（下载地址：http://dd.northtimes.com/download/nbtscan.rar）工具快速查找。 NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。命令：“nbtscan -r 192.168.2.0/24”（搜索整个192.168.2.0/24网段, 即192.168.2.1-192.168.2.254）；或“nbtscan 192.168.2.25-127”搜索192.168.2.25-127 网段，即192.168.2.25-192.168.2.127。输出结果第一列是IP地址，最后一列是MAC地址。
   NBTSCAN的使用范例：
   假如查找一台MAC地址为“00-0C-76-93-89-C2”的中毒主机，可以使用如下步骤完成查找：
   1）将文件包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\根目录下。
   2）运行cmd，在出现的DOS窗口中输入：
C:\nbtscan -r 192.168.2.1/24（这里需要根据用户实际网段输入），回车。
C:\Documents and Settings\me>C:\nbtscan -r 192.168.2.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.2.1/24
IP address NetBIOS Name Server User MAC address
   -------------------------------------------
192.168.2.0 Sendto failed: Cannot assign requested address
192.168.2.50 SERVER 00-11-09-EC-92-91
192.168.2.111 LLF
192.168.2.121 UTT-HIPER 00-13-46-E2-78-F9
192.168.2.175 JC 00-0B-2F-07-D5-AE
192.168.2.223 test123
   3）通过查询IP--MAC对应表，查出“00-0C-76-93-89-C2”的病毒主机的IP地址为“192.168.2.223”。
   2、MSS用户查找法：
   在MSS服务器管理内，“安全设置”－>“MAC-IP地址安全”，使用“全网扫描”功能可得到当前MSS服务器上ARP地址的缓存表，在ARP欺骗病毒（或木马）开始运行的时候，局域网内所有或部分主机的MAC地址更新为病毒主机的MAC地址（也就是扫描出的列表中，所有或部分主机的的MAC地址与病毒主机的MAC地址相同）

可能局域网有人用P2P终结者或者聚生网管之类的控制软件 360的ARP能防得住不用怕

happy4321

我也遇到过这样的问题，进来学习下，大概是局域网内的某一台电脑中毒了。

局欲网中的某台电脑中毒了,没关系的
反正是电脑公司,要盗就盗吧,嘿嘿~
我就这样做的~看到有提示,就关了360,让他去攻击吧!

moonrisker

ARP只发生在局域网，360是可以防得住的。你可以开启它的ARP防火墙功能。没关系的

5577

网内某台电脑中毒了，MAC地址在路由器里就能看到，找相应名称的计算机就行了。

应该是你们公司的网管用了一个监控软件，或者是你们公司内部有人用P2P之内的限制软件了，对你的电脑没什么影响的，放心，你要是不想看到提示，可以在360里面设置一下，

wbli2003

估计是有病毒了，以前遇到过，中病毒的机器一直去攻击局域网内的机器

qhdzhaoym

MAC地址是你电脑的网卡物理地址
每个电脑的地址都不一样
提示你肯定是你的电脑或者你所在的局域网里面中毒了

杀毒吧