現在局域網中感染ARP病毒的情況比較多，清理和防范都比較困難，給不少的網絡管理員造成了很多的困擾。下面就是學習啦小編在處理這個問題的一些經驗，同時也在網上翻閱了不少的參考資料。

　　ARP病毒的癥狀

　　有時候無法正常上網，有時候有好了，包括訪問網上鄰居也是如此，拷貝文件無法完成，出現錯誤;局域網內的ARP包爆增，使用ARP查詢的時候會發(fā)現不正常的MAC地址，或者是錯誤的MAC地址對應，還有就是一個MAC地址對應多個IP的情況也會有出現。

　　ARP攻擊的原理

　　ARP欺騙攻擊的包一般有以下兩個特點，滿足之一可視為攻擊包報警：第一以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。或者，ARP數據包的發(fā)送和目標地址不在自己網絡網卡MAC數據庫內，或者與自己網絡MAC數據庫MAC/IP不匹配。這些統(tǒng)統(tǒng)第一時間報警，查這些數據包(以太網數據包)的源地址(也有可能偽造)，就大致知道那臺機器在發(fā)起攻擊了?，F在有網絡管理工具比如網絡執(zhí)法官、P2P終結者也會使用同樣的方式來偽裝成網關，欺騙客戶端對網關的訪問，也就是會獲取發(fā)到網關的流量，從而實現網絡流量管理和網絡監(jiān)控等功能，同時也會對網絡管理帶來潛在的危害，就是可以很容易的獲取用戶的密碼等相關信息。

　　處理辦法

　　通用的處理流程

　　1.先保證網絡正常運行

　　方法一：編輯一個***.bat文件內容如下：

　　讓網絡用戶點擊就可以了!

　　辦法二：編輯一個注冊表問題，鍵值如下：

　　然后保存成Reg文件以后在每個客戶端上點擊導入注冊表。

　　2.找到感染ARP病毒的機器

　　a、在電腦上ping一下網關的IP地址，然后使用ARP -a的命令看得到的網關對應的MAC地址是否與實際情況相符，如不符，可去查找與該MAC地址對應的電腦。

　　b、使用抓包工具，分析所得到的ARP數據報。有些ARP病毒是會把通往網關的路徑指向自己，有些是發(fā)出虛假ARP回應包來混淆網絡通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。

　　c、使用MAC地址掃描工具，Nbtscan掃描全網段IP地址和MAC地址對應表，有助于判斷感染ARP病毒對應MAC地址和IP地址。

　　預防措施

　　1、及時升級客戶端的操作系統(tǒng)和應用程式補丁;

　　2、安裝和更新殺毒軟件。

　　3、如果網絡規(guī)模較少，盡量使用手動指定IP設置，而不是使用DHCP來分配IP地址。

　　4、如果交換機支持，在交換機上綁定MAC地址與IP地址。(不過這個實在不是好主意)