最近ARP病毒極為猖獗，許多校園網及網吧因受到攻擊而導致網絡緩慢、時斷時續或者徹底無法上網。筆者的單位近期也不幸遭碰到了ARP病毒攻擊，剛開始經過反復檢查網線，及網絡狀況，發現并無斷線的情況，無奈之后上網查找資料才確定系ARP病毒搗鬼。

病毒故障現象及診斷

情況一：在局域網中當有用戶木馬程序通過ARP欺騙對網絡進行攻擊，中毒的計算機會根據該網絡的設置，克隆一個服務器或者路由器的ip地址和MAC地址出來，以此來截獲網內發往外網的數據，這是典型的ARP欺騙案例。在攻擊的過程中，被攻擊的電腦常表現為忽然不能上網，過段時間又能上網，常會反復掉線。

情況二：在局域網中某臺電腦感覺ARP病毒后，會在網絡中不斷地向其實計算機發送ARP欺騙，讓原本流向網關的流量改道流向病毒主機，造成受害者上網網速變慢,經常出現掉線的情況。

情況三：在局域網當有ARP欺騙發生時，在IP地址設置正常的情況下，可能電腦會顯示“IP地址沖突”。

如網絡用戶在使用計算機過程中，忽然發現無法上網，可以先禁用網卡，然后再啟用，假如啟用之后能上網，就有可能是ARP病毒所致。

另外，也可以通過下如操作進行診斷：點擊"開始"

按鈕->選擇"運行"->輸入"arp -d"->點擊"確定"按鈕，然后重新嘗試上網，假如能恢復正常，則說明此次掉線可能是受ARP欺騙所致。

注："arp -d"命令用于清除并重建本機arp表。"arp -d"命令并不能抵御ARP欺騙，執行后仍有可能再次遭受ARP攻擊。

圖1

故障解決辦法

可以使用ARP -S命令捆綁IP地址和MAC地址，將網內所有客戶端都按找這個方法做好捆綁，確保其的唯一性。

編寫批處理文件如下：

把以上批處理另存為ARP.BAT，然后把文件拖到“windows--開始--程序--啟動”中即可。假如是在網吧中，可以利用收費軟件服務端程序（pubwin或者萬象都可以）發送批處理文件rarp.bat到所有客戶機的啟動目錄。

使用以上的方法綁定IP及網關之后，建議各位網友另外再安裝ARP防火墻（ARP防火墻免費下載），徹底拒絕病毒于大門之外。