一、首先診斷是否為ARP病毒攻擊

1、當發(fa)(fa)現上網明顯變慢，或者(zhe)突然掉(diao)線(xian)時，我(wo)們(men)可以用arp-命令來檢查ARP表(biao)：（點擊(ji)“開始”按鈕(niu)-選(xuan)擇“運行”-輸入“cmd”點擊(ji)"確定"按鈕(niu)，在窗口中輸入“arp-a”命令）如果發(fa)(fa)現網關的(de)MAC地址(zhi)(zhi)發(fa)(fa)生了(le)改變，或者(zhe)發(fa)(fa)現有很多IP指向同一個(ge)物理(li)地址(zhi)(zhi)，那么(me)肯定就是(shi)ARP欺騙所致。

2、利用AntiARPSniffer軟件查看(kan)（詳細使用略）。

二、找出ARP病毒主機

1、用“arp–d”命令(ling)(ling)，只能臨時解決上(shang)網問(wen)題，要從根本上(shang)解決問(wen)題，就(jiu)得找到病毒主機。通過上(shang)面的arp–a命令(ling)(ling)，可(ke)以(yi)判定改變了的網關MAC地(di)(di)址(zhi)或多個IP指向(xiang)的物(wu)理地(di)(di)址(zhi)，就(jiu)是(shi)病毒機的MAC地(di)(di)址(zhi)。哪么對應這個MAC地(di)(di)址(zhi)的主機又是(shi)哪一臺呢(ni)，windows中有ipconfig/all命令(ling)(ling)查(cha)看每(mei)臺的信(xin)息(xi)，但如果電腦(nao)數目多話，一臺臺查(cha)下(xia)去(qu)不是(shi)辦法，因此可(ke)以(yi)下(xia)載一個叫“NBTSCAN”的軟件，它可(ke)以(yi)取到PC的真實(shi)IP地(di)(di)址(zhi)和MAC地(di)(di)址(zhi)。

命令：“nbtscan-r192.168.80.0/24”（搜索(suo)整個(ge)192.168.80.0/24網(wang)段,即(ji)192.168.80.1-192.168.80.254）；或“nbtscan192.168.80.25-137”搜索(suo)192.168.80.25-137網(wang)段，即(ji)192.168.80.25-192.168.80.137。輸出結果(guo)第(di)一(yi)列是(shi)IP地址，最后(hou)一(yi)列是(shi)MAC地址。這樣就可找到病毒主(zhu)機的(de)IP地址。

2、如(ru)果(guo)手(shou)頭一下沒這個(ge)軟(ruan)件怎么辦呢？這時(shi)也可在客戶(hu)機(ji)運行路由跟(gen)蹤命令如(ru)：tracert–dwww.163.com，馬上就(jiu)發現第(di)一條(tiao)不是(shi)(shi)網關(guan)機(ji)的(de)內網ip，而是(shi)(shi)本網段內的(de)另外一臺機(ji)器的(de)IP，再下一跳才(cai)是(shi)(shi)網關(guan)的(de)內網IP；正(zheng)常(chang)情況是(shi)(shi)路由跟(gen)蹤執行后的(de)輸出(chu)第(di)一條(tiao)應該是(shi)(shi)默認網關(guan)地址，由此判定第(di)一跳的(de)那個(ge)非網關(guan)IP地址的(de)主機(ji)就(jiu)是(shi)(shi)罪(zui)魁禍首(shou)。

當(dang)然找到了IP之后(hou)(hou)(hou)，接下(xia)來(lai)是要找到這(zhe)個(ge)IP具(ju)體所(suo)對應的(de)機(ji)(ji)子了，如果(guo)你每臺(tai)電腦編了號(hao)，并使(shi)(shi)用固定IP，IP的(de)設(she)置(zhi)(zhi)也有規(gui)律的(de)話，那么(me)就很快找到了。但(dan)如果(guo)不(bu)是上面(mian)這(zhe)種情(qing)況，IP設(she)置(zhi)(zhi)又無規(gui)律，或者IP是動態獲(huo)取的(de)那該怎么(me)辦(ban)呢？難道還是要一(yi)個(ge)個(ge)去查？非也！你可以這(zhe)樣：把一(yi)臺(tai)機(ji)(ji)器的(de)IP地址設(she)置(zhi)(zhi)成與作(zuo)祟機(ji)(ji)相同的(de)相同，然后(hou)(hou)(hou)造成IP地址沖(chong)突，使(shi)(shi)中(zhong)毒主(zhu)機(ji)(ji)報(bao)警然后(hou)(hou)(hou)找到這(zhe)個(ge)主(zhu)機(ji)(ji)。

三、處理病毒主機

1、用殺毒(du)(du)軟(ruan)件查毒(du)(du)，殺毒(du)(du)。

2、建議重裝系統(tong)，一(yi)了百(bai)了。（當然你應注意除系統(tong)盤外其他盤有無病(bing)毒）

四、如何防范ARP病毒攻擊

1、從影(ying)響網(wang)絡(luo)連接通(tong)暢的(de)(de)(de)(de)(de)方式(shi)來看，ARP欺騙分為二(er)(er)種，一(yi)種是(shi)(shi)(shi)對(dui)路(lu)(lu)(lu)由(you)(you)(you)器(qi)ARP表的(de)(de)(de)(de)(de)欺騙；另一(yi)種是(shi)(shi)(shi)對(dui)內(nei)網(wang)PC的(de)(de)(de)(de)(de)網(wang)關欺騙。第一(yi)種ARP欺騙的(de)(de)(de)(de)(de)原理是(shi)(shi)(shi)——截獲網(wang)關數(shu)據。它通(tong)知(zhi)路(lu)(lu)(lu)由(you)(you)(you)器(qi)一(yi)系列錯(cuo)誤(wu)的(de)(de)(de)(de)(de)內(nei)網(wang)MAC地(di)址(zhi)，并按照一(yi)定(ding)(ding)(ding)的(de)(de)(de)(de)(de)頻率(lv)不(bu)斷進行，使真實(shi)的(de)(de)(de)(de)(de)地(di)址(zhi)信息無法通(tong)過(guo)更新保存在路(lu)(lu)(lu)由(you)(you)(you)器(qi)中(zhong)，結果路(lu)(lu)(lu)由(you)(you)(you)器(qi)的(de)(de)(de)(de)(de)所有數(shu)據只能發(fa)送給錯(cuo)誤(wu)的(de)(de)(de)(de)(de)MAC地(di)址(zhi)，造成(cheng)正(zheng)(zheng)常PC無法收到信息。第二(er)(er)種ARP欺騙的(de)(de)(de)(de)(de)原理是(shi)(shi)(shi)——偽造網(wang)關。它的(de)(de)(de)(de)(de)原理是(shi)(shi)(shi)建(jian)立假網(wang)關，讓(rang)被它欺騙的(de)(de)(de)(de)(de)PC向假網(wang)關發(fa)數(shu)據，而不(bu)是(shi)(shi)(shi)通(tong)過(guo)正(zheng)(zheng)常的(de)(de)(de)(de)(de)路(lu)(lu)(lu)由(you)(you)(you)器(qi)途徑上網(wang)。在PC看來，就是(shi)(shi)(shi)上不(bu)了(le)(le)網(wang)了(le)(le)，“網(wang)絡(luo)掉(diao)線(xian)了(le)(le)”。因此很(hen)多人建(jian)議用戶采用雙向綁(bang)(bang)定(ding)(ding)(ding)的(de)(de)(de)(de)(de)方法解(jie)決并且防(fang)止(zhi)ARP欺騙，這個確實(shi)是(shi)(shi)(shi)最(zui)好解(jie)決的(de)(de)(de)(de)(de)辦(ban)法，但如果電腦數(shu)量(liang)(liang)多的(de)(de)(de)(de)(de)情況下，在路(lu)(lu)(lu)由(you)(you)(you)器(qi)上作(zuo)(zuo)綁(bang)(bang)定(ding)(ding)(ding)工作(zuo)(zuo)量(liang)(liang)將很(hen)大，我個人認為主要(yao)做(zuo)好在PC上綁(bang)(bang)定(ding)(ding)(ding)路(lu)(lu)(lu)由(you)(you)(you)器(qi)的(de)(de)(de)(de)(de)IP和MAC地(di)址(zhi)就行了(le)(le)，在PC上綁(bang)(bang)定(ding)(ding)(ding)可以按下面方法做(zuo)：

1）首先，獲(huo)得路(lu)由器的(de)內網(wang)的(de)MAC地址(zhi)（例如網(wang)關地址(zhi)172.16.1.254的(de)MAC地址(zhi)為0022aa0022ee）。

2）編寫一個批處(chu)理文件rarp.bat內(nei)容如下：

@echooff

arp-d

arp-s172.16.1.25400-22-aa-00-22-ee

將文件(jian)中(zhong)的網關IP地(di)址和MAC地(di)址更(geng)改(gai)為(wei)您自己的網關IP地(di)址和MAC地(di)址即可(ke)。將這個批處(chu)理軟件(jian)拖到“windows--開始--程序--啟(qi)動”中(zhong)。

這(zhe)樣即減輕(qing)了一臺臺設置的麻煩，也(ye)避免了由于電(dian)腦(nao)重(zhong)新啟動使得數據又要重(zhong)做(zuo)的麻煩。當然最(zui)好(hao)電(dian)腦(nao)要有(you)還原(yuan)卡和保(bao)護系統，使得這(zhe)個批處理不會被(bei)隨意刪除掉。

2、作(zuo)為網絡管理員，我認為應該(gai)充分利用(yong)一些(xie)(xie)工(gong)具軟件，備(bei)一些(xie)(xie)常用(yong)的工(gong)具，就ARP而言，推薦在手(shou)頭準備(bei)這樣幾個軟件：

①“AntiARPSniffer”（使用AntiARPSniffer可以(yi)防止利用ARP技術進行數(shu)據(ju)包截取以(yi)及防止利用ARP技術發送地址沖突數(shu)據(ju)包，并能查找攻擊主機(ji)的IP及MAC地址）。

②“NBTSCAN”（NBTSCAN可以取(qu)到PC的真實IP地址(zhi)和(he)MAC地址(zhi)，利用(yong)它(ta)可以知道局域網內每(mei)臺(tai)IP對應的MAC地址(zhi)）

③“網(wang)(wang)絡執法官”（一款(kuan)局域網(wang)(wang)管(guan)理(li)輔助軟件，采(cai)用(yong)(yong)網(wang)(wang)絡底層協議，能(neng)穿透各客(ke)戶(hu)端防火墻(qiang)對網(wang)(wang)絡中(zhong)的每一臺(tai)主機、交換機等(deng)配有IP的網(wang)(wang)絡設備進(jin)行監(jian)控(kong)(kong)；采(cai)用(yong)(yong)網(wang)(wang)卡(ka)號（MAC）識別用(yong)(yong)戶(hu)，主要功能(neng)是依(yi)據(ju)管(guan)理(li)員為(wei)各主機限定的權限，實時監(jian)控(kong)(kong)整個局域網(wang)(wang)，并自(zi)動對非法用(yong)(yong)戶(hu)進(jin)行管(guan)理(li)，可將非法用(yong)(yong)戶(hu)與網(wang)(wang)絡中(zhong)某些(xie)主機或整個網(wang)(wang)絡隔離，而且無論局域網(wang)(wang)中(zhong)的主機運(yun)行何種防火墻(qiang)，都(dou)不(bu)能(neng)逃(tao)避監(jian)控(kong)(kong)，也(ye)不(bu)會引發(fa)防火墻(qiang)警告，提(ti)高了(le)網(wang)(wang)絡安全(quan)性(xing)）

3、定時(shi)檢查局(ju)域網病毒，對(dui)機器進(jin)行病毒掃描，平時(shi)給系統(tong)安裝好(hao)補丁程序，最好(hao)是局(ju)域網內每臺電腦保(bao)證(zheng)有殺毒軟件（可升(sheng)級）

4、指導(dao)好網絡內使用者不(bu)要隨(sui)便點擊打(da)開QQ、MSN等聊(liao)天工具(ju)上發(fa)來的鏈(lian)接信息，不(bu)要隨(sui)便打(da)開或運(yun)行陌(mo)生、可疑文件(jian)和程序(xu)(xu)，如郵件(jian)中(zhong)的陌(mo)生附件(jian)，外掛程序(xu)(xu)等。

5、建(jian)議(yi)對(dui)局域網的每(mei)一(yi)(yi)臺電腦(nao)盡量作用(yong)固(gu)定(ding)IP，路(lu)由(you)器不啟(qi)用(yong)DHCP，對(dui)給網內的每(mei)一(yi)(yi)臺電腦(nao)編(bian)一(yi)(yi)個(ge)(ge)號(hao)，每(mei)一(yi)(yi)個(ge)(ge)號(hao)對(dui)應(ying)一(yi)(yi)個(ge)(ge)唯一(yi)(yi)的IP，這樣(yang)有利用(yong)以后故障的查詢也(ye)方便(bian)管理。并(bing)利用(yong)“NBTSCAN”軟件查出每(mei)一(yi)(yi)IP對(dui)應(ying)的MAC地址(zhi)，建(jian)立一(yi)(yi)個(ge)(ge)“電腦(nao)編(bian)號(hao)-IP地址(zhi)-MAC地址(zhi)”一(yi)(yi)一(yi)(yi)對(dui)應(ying)的數據庫。