局域网ARP病毒快速诊断及解决方案

局域网ARP病毒快速诊断及解决方案(1)

最近ARP病毒极为猖獗，许多校园网及网吧因受到攻击而导致网络缓慢、时断时续或者彻底无法上网。笔者的单位近期也不幸遭遇到了ARP病毒攻击，刚开始经过反复检查网线，及网络状况，发现并无断线的情况，无奈之后上网查找资料才确定系ARP病毒捣鬼。

病毒故障现象及诊断

情况一：在局域网中当有用户木马程序通过ARP欺骗对网络进行攻击，中毒的计算机会根据该网络的设置，克隆一个服务器或者路由器的IP地址和MAC地址出来，以此来截获网内发往外网的数据，这是典型的ARP欺骗案例。在攻击的过程中，被攻击的电脑常表现为突然不能上网，过段时间又能上网，常会反复掉线。

情况二：在局域网中某台电脑感觉ARP病毒后，会在网络中不断地向其实计算机发送ARP欺骗，让原本流向网关的流量改道流向病毒主机，造成受害者上网网速变慢,经常出现掉线的情况。

情况三：在局域网当有ARP欺骗发生时，在IP地址设置正常的情况下，可能电脑会显示“IP地址冲突”。

如网络用户在使用计算机过程中，突然发现无法上网，可以先禁用网卡，然后再启用，如果启用之后能上网，就有可能是ARP病毒所致。

另外，也可以通过下如操作进行诊断：点击"开始"

按钮->选择"运行"->输入"arp -d"->点击"确定"按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

注："arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

图1

故障解决办法

可以使用ARP -S命令捆绑IP地址和MAC地址，将网内所有客户端都按找这个方法做好捆绑，确保其的唯一性。

编写批处理文件如下：