经过两个多小时的奋战，终于让这个帖起死回生了！
    因为论坛方面添加了新的限制字符，自从8月16日更新后就一直因为存在限制字符而无法再更新。我本来都不打算再作更新的了，但发现论坛上还是有很多网友受ARP的问题所困扰，我知道ARP是一个长期存在的问题，也因为刚放假，有空了，所以下定决心要把那几个限制字一一排除，重新更新这个帖子，所幸的是经过两个多小时的奋战，终于把到了病灶，让这个帖起死回生了！

　　　　　　　　　　　　　　　　　　　　　　　　　DTMV6　12月30日留字

官方下载

软件版本：单机版 v5.0.1 软件大小：6.48 MB 发布日期：2007-12-10 运行环境：Win2000/XP/2003/Vista 软件授权：请点击查看细节 MD5校验：69653975d5c83649f745e32cb99ddc84

华军下载  多特下载  天空下载

备注1：单机版不支持64位操作系统
备注2：单机版根据操作系统自动识别为单机个人版或单机服务器版，它们使用相同的安装程序。[/url]
备注3：软件版本号中包含beta字样，即表示是测试版。测试版通常会包含一些新的功能，但可能会存在比较多的BUG。

最新版本下载

软件版本：网络版 v3.2.1 软件大小：14.7 MB 发布日期：2007-11-11 应用平台：Win2000/XP/2003/Vista 软件授权：请点击查看细节 MD5校验：3907612f12eb9e87d3a9de21ef1e32d7

多特下载

备注1：网络版不支持64位操作系统
备注2：网络版v3.2分为四种版本：标准版、网吧版、企业版、高级版。四种版本使用相同的安装程序。
备注3：软件版本号中包含beta字样，即表示是测试版。测试版通常会包含一些新的功能，但可能会存在比较多的BUG。


卸载工具:
    如果软件配置信息遭到损坏，那么可能会出现通过正常途径无法卸载的情况。解决办法：
    1. 关闭ARP防火墙
    2. 下载卸载工具：uninstall.rar
    3. 解压卸载工具，直接运行uninstall.bat。请注意：一定要解压后再运行！
    4. 如果问题未解决，重起操作系统，再次运行卸载工具。
    备注1: 卸载工具运行过程中如果失去响应，重起操作系统即可。
    备注2: 卸载工具最后更新于2007-12-15，适用于单机版和网络版客户端。

>>>ARP防火墙 V4.1.1破解版
安装说明:先安装antiarp4.1.1.exe
安装完毕后将AntiArp.exe文件复盖安装文件夹的同名文件!
你的网络是否经常掉线，是否经常发生IP冲突？
     你是否担心通讯数据受到监控（如MSN、QQ、EMAIL）？
     你的网络速度是否受到网管软件限制（如聚生网管、P2P终结者）？
     你是否深受各种ARP攻击软件之苦（如网络执法官、网络剪刀手、局域网终结者）？

     以上各种问题的根源都是ARP欺骗（ARP攻击）。在没有ARP欺骗之前，数据流向是这样的：网关<->本机。ARP欺骗之后，数据流向是这样的：网关<->攻击者（“网管”）<->本机，本机与网关之间的所有通讯数据都将流经攻击者（“网管”），所以“任人宰割”就在所难免了。

     ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，从而完美的解决上述所有问题。

     ARP防火墙九大功能
     1. 拦截ARP攻击。
        (A) 在系统内核层拦截外部虚假ARP数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全；
        (B) 在系统内核层拦截本机对外的ARP攻击数据包，以减少感染恶意程序后对外攻击给用户带来的麻烦；
     2. 拦截IP冲突。在系统内核层拦截IP冲突数据包，保障系统不受IP冲突攻击的影响；
     3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包，定位恶意发动DoS攻击的程序，从而保证网络的畅通；
     4. 安全模式。除了网关外，不响应其它机器发送的ARP Request，达到隐身效果，减少受到ARP攻击的几率；
     5. ARP数据分析。分析本机接收到的所有ARP数据包，掌握网络动态，找出潜在的攻击者或中毒的机器；
     6. 监测ARP缓存。自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改，将报警并自动修复，以保持网络畅通及通讯安全；
     7. 主动防御。主动与网关保持通讯，通告网关正确的MAC地址，以保持网络畅通及通讯安全；
     8. 追踪攻击者。发现攻击行为后，自动快速锁定攻击者IP地址；
     9. 查杀ARP病毒。发现本机有对外攻击行为时，自动定位本机感染的恶意程序、病毒程序

[attach]62075[/attach]
[attach]62076[/attach]

>>>ARP防火墙单机版 v4.2 b1完美破解版(无时间限制)
[attach]83758[/attach]


软件简介：
ARP防火墙单机版v4.2beta1有安装不上的朋友,如果你以前安装过4.1或者更早的版本，请保证已经彻底卸载掉了,然后再安装此新版本;安装完软件后,请将破解文件覆盖到安装目录后,重新启动计算机,这样应该不会出现问题了！

本版本更新以下内容： 提示：本破解版在XP下测试通过！别的操作系统不保证！
[添加] 自身进程保护，防止被恶意软件终止。 有可能会出现破解补丁无法运行！
[添加] 系统时间保护，防止恶意程序修改系统时间，导致一些安全防护软件失效。
[添加] 本机ARP缓存保护，防止恶意程序篡改本机ARP缓存。
[添加] 自动保存日志
[添加] 监测系统进程创建和终止，为查杀ARP病毒源提供强有力支持。
[优化] 查看进程详细信息时，显示进程树信息，为查找病毒源提供有价值线索。
[优化] 主动防御速度控制算法，使得实际防御速度更精确的接近预设速度。
[优化] IP地址显示为类似"192.168.000.001"，便于排序。
[优化] 优化其它一些功能，优化软件默认配置参数等。
[修复] 更换安装驱动时用到的snetcfg.exe，解决某些杀毒软件对它进行误报的问题。
[修复] 解决误报Windows系统进程svchost.exe发送的一些数据包的问题
[修复] 解决拦截自身进程发送的主动防御包的问题

附件下载
[attach]60728[/attach]
[attach]60729[/attach]

>>>自由上网（反ARP欺骗）


    现在办公室上网的环境越来越恶劣，好端端的一个网络经常掉线，上网速度如同蜗牛，经常一个网页要等半天才能打开，由于网管限制，很多网络游戏软件不能使用，甚至不能QQ、MSN，看PPLive、UUSee不停的停顿缓冲，bt、迅雷等下载软件很慢甚至根本不能下。现在校园里面宿舍上网也经常受到不明网络软件或者病毒的冲击，速度很慢，UUSEE和PPLive不能使用，下载很慢，经常断网。

    这一切的一切都是由ARP欺骗和ARP病毒造成的。本软件是突破局域网各种ARP欺骗的工具.通过对各种ARP欺骗工具(聚生网管,P2P终结者,网络执法官)原理的深入分析,研究出一种有效的突破方法.这种方法对网络的影响很小,不会对别的主机造成影响,只保护本主机可以无阻碍的防问外网,而不受各种ARP欺骗工具的限制.

    同时,通过对ARP欺骗数据包特征的分析,可以找到ARP欺骗者的IP地址及MAC地址.
    欢迎大家下载使用.在使用过程中,如果遇到问题,请您留言告诉我们,我们会在最快的时间内回复.如果您觉得应该增加别的功能,也请您留言,我们将考虑在下个版本中实现

[attach]83759[/attach]


操作系统：

中文版本的Windows 2000/XP/2003

运行配置：

CPU：奔腾300或更高， 建议1G以上
内存：64MB，建议128M以上
显示卡：SVGA，16位真彩以上显示模式


>>>自由上网（反ARP欺骗-办公室、校园版）v3.4.2[安装版]

软件版本：自由上网（反ARP欺骗-办公室、校园版）v3.4.2
软件大小：1.16 MB (1,227,993 字节)
备注：此版本适合于没有网络经验的用户安装使用
更新日志：v3.3相对于v3.2更新后，解决了在局域网中还是提示"此工具不能运行在非局域网环境"问题;及添加"防止本机中ARP病毒后,去ARP欺骗别的主机"功能
V3.4新增防止"IP地址冲突掉线"功能
V3.4.1/2修改了最近发现的小BUG.

[attach]60735[/attach]


>>>自由上网（反ARP欺骗绿色专家版）v3.4.1[绿色版]

软件版本：自由上网（反ARP欺骗绿色专家版）v3.4.1
软件大小：简体版(624,628 字节),繁体版(624,628 字节)
备注：此版本需要有一定网络软件使用功底的高级用户使用
更新日志：v3.2相对于v3.1添加"防止本机中ARP病毒后,去ARP欺骗别的主机"功能
V3.3较V3.2新增防止"IP地址冲突掉线"功能.
V3.4较V3.3新增了"增强保护"功能.
V3.4.1修改了最近发现的小BUG


简体版[attach]60736[/attach]
繁体版[attach]63129[/attach]

>>>  ARP卫士 3.0版本

    ARP卫士是国内领先的局域网防护软件，我们对"ARP卫士"诠释定义为：All、Reinvent、Professional 即：全面地、彻底地、专业地保卫局域网的安全。因为单纯的解决ARP攻击绝不是彻底解决局域网掉线，闪断，缓慢的有效方案。而arp卫士特有的防御ARP欺骗攻击、ARP风暴抑制、洪水拦截、流量控制(解决P2P软件带宽耗尽问题)等功能可以全面的保障局域网安全....

ARP卫士v3.3.4.9	14.3MB	2007/04/09		点击下载
ARP卫士使用说明	1.37MB	2006/09/30		点击下载
ARPGuard MD5码计算工具	291KB	2007/03/22		点击下载
ARP卫士针对ARP攻击的防御录像	4.69MB	2007/06/04		点击下载

[attach]63126[/attach]

ARP攻击检测工具下载
[attach]63130[/attach]

>>>下面给大家推荐一个爆强工具《ARP病毒专杀工具[(ARP)TSC]》

ARP病毒专杀工具

    ARP病毒频繁爆发，对用户正常使用网络造成很大影响，推出一款ARP病毒专杀工具。

　　使用方法：下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，然后查看report文档便可。

[attach]60737[/attach]

[attach]83764[/attach]


>>>360安全卫士－ARP专杀[Kill_ARP]

Dr.web和驱逐舰报毒，因为这两个杀软对360的东西比较敏感，不过无伤大雅，忽略就行！
如果下载不成功，请暂时关闭系统监控，等下载成功再打开。

[attach]60873[/attach]

更多ARP工具请参看帖子：

ARP防治专帖2-之AntiARP-DNS[个人版+服务器版]
地址 http://bbs.54master.com/viewthread.php?tid=214497

ARP防治系列专帖３之[ARP工具大杂烩]暨dtmv6注册一周年
地址 http://bbs.54master.com/viewthread.php?tid=223477

关于防范“ARP欺骗”木马病毒

        近期，出现一种新的“ARP欺骗”木马病毒在互联网上迅速扩散，主要表现为用户频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。目前，已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂存在着这种木马。

一、ARP Spoofing攻击原理分析
在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。

用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。

每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。

默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。

攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和 MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。
当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。

Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个 Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个 HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下下面交换机中日志所示：
Internet 172.20.156.1 0 000b.cd85.a193 ARPA Vlan256
Internet 172.20.156.5 0 000b.cd85.a193 ARPA Vlan256
Internet 172.20.156.254 0 000b.cd85.a193 ARPA Vlan256
Internet 172.20.156.53 0 000b.cd85.a193 ARPA Vlan256
Internet 172.20.156.33 0 000b.cd85.a193 ARPA Vlan256
Internet 172.20.156.13 0 000b.cd85.a193 ARPA Vlan256
Internet 172.20.156.15 0 000b.cd85.a193 ARPA Vlan256
Internet 172.20.156.14 0 000b.cd85.a193 ARPA Vlan256

二、ARP病毒分析
当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

在路由器的“系统历史记录”中看到大量如下的信息：
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。
BKDR_NPFECT.A病毒引起ARP欺骗之实测分析

Part1. 病毒现象
中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.

Part2. 病毒原理分析:
病毒的组件
本文研究的病毒样本有三个组件构成:
%windows%\SYSTEM32\LOADHW.EXE (108,386 bytes) ….. ”病毒组件释放者”
%windows%\System32\drivers\npf.sys (119,808 bytes) ….. ”发ARP欺骗包的驱动程序”
%windows%\System32\msitinit.dll (39,952 bytes) …”命令驱动程序发ARP欺骗包的控制者”

病毒运作基理:
1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .
LOADHW.EXE释放组件后即终止运行.
注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,
npf.sys将会被病毒文件覆盖掉.
2.随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: "NetGroup Packet Filter Driver"
msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)

以下从病毒代码中提取得服务相关值:
BinaryPathName = "system32\drivers\npf.sys"
StartType = SERVICE_AUTO_START
ServiceType = SERVICE_KERNEL_DRIVER
DesiredAccess = SERVICE_ALL_ACCESS
DisplayName = "NetGroup Packet Filter Driver"
ServiceName = "Npf"
3. npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
dwMyTest =LOADHW.EXE
注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除.

Part3. 反病毒应急响应解决方案
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”%windows%\SYSTEM32\LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”):%windows%\System32\drivers\npf.sys
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f. 删除%windows%\System32\drivers\npf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”:%windows%\System32\msitinit.dll

2. 删除以下”病毒的假驱动程序”的注册表服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf

三、定位ARP攻击源头和防御方法
1．定位ARP攻击源头

主动定位方式：

    因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交做分析处理。

标注：

    网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。

被动定位方式：

    在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC。使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；
或“nbtscan 192.168.16.25-137”（搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137）。
输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为“000d870d585f”的病毒主机。
1、将压缩包中的"nbtscan.exe "和"cygwin1.dll"解压缩放到c:\下。
2、在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入："C: btscan -r 192.168.16.1/24"（这里需要根据用户实际网段输入），然后回车。
3、通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。

2、防御方法

a、使用可防御ARP攻击的三层交换机，绑定：端口－网卡MAC－IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。

b、对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。

c、在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用SIC2.0，同时收集可疑的病毒样本文件，一起提交到TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。