有關ARP病毒問題的處理說明:

故障現象 ：機器以前可正常上網的，突然出現可認證，不能上網的現象（無法ping通（tōng）網關），重啟機（jī）器或（huò）在MSDOS窗口下運行命令（lìng）ARP -d後，又可恢複上（shàng）網一段時間。

故障原因：這（zhè）是APR病（bìng）毒欺騙（piàn）攻擊造成的。

引起（qǐ）問題的原因一般是由（yóu）傳奇外掛攜帶的ARP木馬攻擊。當在局域網（wǎng）內使用上述（shù）外掛時，外掛攜帶的病毒會（huì）將該機器的MAC地址映射到網關的IP地址上（shàng），向局域網內大量發送ARP包，從而致使同一網段地址內的其它機器誤將其作為網關，這就是為什麽掉線時（shí）內網是互通的，計算機（jī）卻不能上網的原因。

臨時處理對策：
步驟（zhòu）一. 在能上網時，進入MS-DOS窗口，輸入命令：arp –a 查看網關（guān）IP對應的正確MAC地址，將其記錄下來。
注：如果已經不能上網，則先運行一次命令（lìng）arp –d將arp緩存（cún）中（zhōng）的內容刪空，計算機可暫時恢複上網（wǎng）（攻擊（jī）如果不停（tíng）止的話），一旦能上網就立即將網絡（luò）斷掉（禁用網卡或拔掉網線），再運（yùn）行（háng）arp –a。

步驟二. 如果已經有網（wǎng）關的正確MAC地址，在不能上網時，手工將網關IP和正確MAC綁定，可確（què）保計算機不再被攻擊影響。手工綁定可在MS-DOS窗口下運行以（yǐ）下命令： arp –s 網關IP 網關MAC

例如：假設計算機（jī）所（suǒ）處網段（duàn）的網關為218.197.192.254，本機（jī）地址為218.197.192.1在（zài）計算機上運行arp –a後輸出如下：

C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic

其中（zhōng）00-01-02-03-04-05就是網關218.197.192.254對應的MAC地址，類型是動態（tài）（dynamic）的，因此是可被改變。
被攻擊後（hòu），再用該命令查（chá）看，就會發現該MAC已經被替換成攻擊機器的MAC，如果大家希望能找出（chū）攻擊機器，徹底根除攻擊，可以在此時將（jiāng）該MAC記（jì）錄下來，為以後查找做（zuò）準備。

手工（gōng）綁定的命（mìng）令為：
arp –s 218.197.192.254 00-01-02-03-04-05

綁定完，可再用arp –a查看arp緩存，
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static

這時（shí），類型變為靜態（static），就不會再受攻擊影響了。但是，需要說明的是，手工（gōng）綁定在（zài）計算機（jī）關機重開機後就會失效，需要再綁定。所以，要徹底根除攻擊，隻有找出網段內被病（bìng）毒感染（rǎn）的計算機，令其殺毒，方（fāng）可解決。找出病毒計算機的方法：

如果已有病毒計算（suàn）機的（de）MAC地址，可（kě）使用NBTSCAN軟件找出網段內與該MAC地址對應的IP，即病毒計算機的IP地址（zhǐ），然後可（kě）報告校網絡中心對（duì）其進行查封。

NBTSCAN的使用方法：
下載（zǎi）nbtscan.rar到硬盤後解壓，然後將cygwin1.dll和nbtscan.exe兩文（wén）件拷（kǎo）貝到（dào）c:\windows\system32(或system)下，進入MSDOS窗口就可以輸入命令：

nbtscan -r 218.197.192.0/24 （假設本機所處的網段是218.197.192，掩碼是255.255.255.0；實際使（shǐ）用（yòng）該命令時，應將斜（xié）體（tǐ）字部分改為正確的網段） 。

注：使用nbtscan時，有時因為有些計算機（jī）安裝防火牆軟件（jiàn），nbtscan的輸出不全，但在計算機的arp緩存（cún）中卻能有所反應，所以使用nbtscan時，還可同時查看arp緩存，就能得到比較完全的網段內計算機IP與MAC的對應關係。

補充一下：
Anti ARP Sniffer 使用說明

一、功能說明:

    使用（yòng）Anti ARP Sniffer可以（yǐ）防止（zhǐ）利（lì）用ARP技術進行數據（jù）包截取以及防止利用ARP技術發送地址衝突數據包。

二、使用說明：

    1、ARP欺騙：

     填入網關IP地址，點擊［獲取網關mac地址］將會顯示出網關（guān）的MAC地址。點擊[自動防護]即可保護當前（qián）網卡與該網關的通信不會被第三方監聽。

    注意：如出現ARP欺騙提示，這說明攻擊者發送了ARP欺騙（piàn）數據（jù）包來（lái）獲取（qǔ）網卡（kǎ）的數據包，如果您想追蹤攻擊來源請記住（zhù）攻擊者的MAC地址，利用MAC地址掃描（miáo）器可以（yǐ）找出IP 對應的MAC地址。

     2、IP地址衝突

     首（shǒu）先點（diǎn）擊“恢複默認”然後點擊“防護地址（zhǐ）衝（chōng）突”。      

     如頻繁的出現IP地址衝（chōng）突，這說（shuō）明（míng）攻擊者頻繁發送ARP欺騙數據包（bāo），才會出現IP衝突的警告，利用Anti ARP Sniffer可以防（fáng）止此類攻擊。

    首先您需要（yào）知道衝（chōng）突的MAC地址，Windows會記錄這些錯誤（wù）。查看具體方法如下：

    右擊[我的電腦]-->[管理]-->點擊[事件查看器]-->點擊（jī）[係統]-->查看來源為[TcpIP]--->雙擊事件（jiàn）可以看（kàn）到顯示地址發生衝突，並記錄了該MAC地址，請複製（zhì）該MAC地址並填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉換為-)，輸入（rù）完（wán）成之後點擊[防護地（dì）址衝突]，為了使MAC地址生效請禁用本地網卡然後再啟用網卡，在CMD命令（lìng）行中輸入Ipconfig /all，查看當前MAC地址（zhǐ）是否（fǒu）與本地MAC地址輸（shū）入框中的MAC地址相符，如果（guǒ）更改失敗請與我聯係。如果（guǒ）成功（gōng）將不再（zài）會（huì）顯示地址衝（chōng）突。

   注意:如（rú）果您想恢複（fù）默認MAC地址,請點（diǎn）擊[恢（huī）複（fù）默認],為了使MAC地址生效請禁用本地網（wǎng）卡然後再啟用網卡。

Windows 2000/XP測試通過!