清除局域网中的ARP病毒

这两天上网，老是看到有人说局域网里的ARP病毒厉害，造成整个局域网的瘫痪。

首先解释什么是ARP：

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中，网络中实际传输的是“帧”，帧里含有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。 ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。

病毒表现为：

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

通用处理流程：

1.先保证网络正常运行

方法一：编辑一个***.bat文件内容如下：

 arp.exe s
**.**.**.**（网关ip）

**.**.**.**.**.**（网关MAC地址）
end

让网络用户点击就可以了!

办法二：编辑一个注册表问题，键值如下：

然后保存成Reg文件以后在每个客户端上点击导入注册表。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“MAC”=”arp s
网关IP地址网关MAC地址”

2.找到感染ARP病毒的机器

a、在电脑上ping一下网关的IP地址，然后使用ARP －a的命令看得到的网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址对应的电脑。

b、使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径 指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感 染病毒的电脑和手工处理病毒，比较困难。

c、使用MAC地址扫描工具，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。