局域網ARP病毒快速診斷及解決方案

　　病毒故障現象及診斷

　　情況一：在局域網中當有用戶木馬程序通過ARP欺騙對網絡進行攻擊，中毒的計算機會根據該網絡的設置，克隆一個服務器或者路由器的IP地址和 MAC地址出來，以此來截獲網內發往外網的數據，這是典型的ARP欺騙案例。在攻擊的過程中，被攻擊的電腦常表現為突然不能上網，過段時間又能上網，常會反復掉線。

　　情況二：在局域網中某台電腦感覺ARP病毒後，會在網絡中不斷地向其實計算機發送ARP欺騙，讓原本流向網關的流量改道流向病毒主機，造成受害者上網網速變慢,經常出現掉線的情況。

　　情況三：在局域網當有ARP欺騙發生時，在IP地址設置正常的情況下，可能電腦會顯示“IP地址沖突”。

　　如網絡用戶在使用計算機過程中，突然發現無法上網，可以先禁用網卡，然後再啟用，如果啟用之後能上網，就有可能是ARP病毒所致。

　　另外，也可以通過下如操作進行診斷：點擊"開始"按鈕->選擇"運行"->輸入"arp -d"->點擊"確定"按鈕，然後重新嘗試上網，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。

　　注："arp -d"命令用於清除並重建本機arp表。"arp -d"命令並不能抵御ARP欺騙，執行後仍有可能再次遭受ARP攻擊。 

　　故障解決辦法

　　可以使用ARP -S命令捆綁IP地址和MAC地址，將網內所有客戶端都按找這個方法做好捆綁，確保其的唯一性。

　　編寫批處理文件如下：

@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在獲取本機信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在獲取網關信息.....
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set GateIP=%%i && GOTO GateMac
:GateMac
echo IP:%GateIP%
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set GateMAC=%%i && GOTO Start
:Start
echo MAC:%GateMAC%
arp -d
arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit


　　把以上批處理另存為ARP.BAT，然後把文件拖到“windows--開始--程序--啟動”中即可。如果是在網吧中，可以利用收費軟件服務端程序（pubwin或者萬象都可以）發送批處理文件rarp.bat到所有客戶機的啟動目錄。