有关【yǒu guān】📀ARP病毒问【bìng dú wèn】⏭题的处【tí de chù】🏃理说明【lǐ shuō míng】:

故障现象 ：机器【jī qì】以⛸前可正常上网【cháng shàng wǎng】👺的【de】，突然出🛰现可认💀证🐥，不能上网【wǎng】的【de】现象（无法ping通网关【tōng wǎng guān】📰），重启机【chóng qǐ jī】👤器【qì】或在🕦MSDOS窗口下【chuāng kǒu xià】运行命令【lìng】🏮ARP -d后，又可恢复上⤴网【wǎng】一段【duàn】时【shí】间。

故障原👸因【yīn】🔼：这是⬇APR病毒【bìng dú】😻欺骗攻击造成【jī zào chéng】的【de】。

引起问题的【de】原因【yīn】🔼一般是由传🍅奇外挂携带的【de】😈ARP木马攻【mù mǎ gōng】击。当在局【dāng zài jú】域网【wǎng】内使用【shǐ yòng】上述外挂时【shí】，外挂携带的【de】😈病毒【bìng dú】😻会将该【huì jiāng gāi】机器【jī qì】🅾的【de】MAC地址【dì zhǐ】🚚映射到网【wǎng】🖇关【guān】📀的【de】IP地址【dì zhǐ】🚚上，向局域网【wǎng】内大量发送ARP包✔，从而致使同一网段【wǎng duàn】🖤地址【dì zhǐ】🚚内的其【nèi de qí】它机👤器【qì】🌵误将【jiāng】其作为网关【wǎng guān】♊，这就是为什么【wéi shí me】掉线时【diào xiàn shí】🍗内网【wǎng】是🐙互通的【hù tōng de】，计算机【jì suàn jī】🤺却不能⛅上网【wǎng】的【de】原因【yīn】🔼。

临时处【lín shí chù】理对策【lǐ duì cè】：
步骤一【bù zhòu yī】. 在能上网时【shàng wǎng shí】🎧，进入MS-DOS窗口【chuāng kǒu】，输入命令【lìng】🏮：arp –a 查看【chá kàn】网关【wǎng guān】♊IP对应的【duì yīng de】🌳正确【zhèng què】🧒MAC地址【dì zhǐ】🚚，将【jiāng】其记录下【jì lù xià】🚮来🚬。
注：如果已经不能上网【wǎng】，则先运📷行一次命令【lìng】🏮arp –d将【jiāng】arp缓存【huǎn cún】🛒中的【de】内容🐍删空【shān kōng】，计算机【jì suàn jī】🤺可暂时【shí】恢复上⤴网【wǎng】（攻击如果不停止的【de】话），一旦能⏱上网【wǎng】就立即将【jiāng】网络断【wǎng luò duàn】🔔掉（禁用网【wǎng】卡或拔【kǎ huò bá】掉网【wǎng】线），再运行arp –a。

步骤二. 如果已经有网【jīng yǒu wǎng】关【guān】♊的【de】正确【zhèng què】🧒MAC地址【dì zhǐ】🚚，在不能上网时【shàng wǎng shí】🎧，手工将【shǒu gōng jiāng】网关【wǎng guān】♊IP和正确【zhèng què】🥟MAC绑定【bǎng dìng】🥟，可确保【kě què bǎo】计算机【jì suàn jī】🤺不再被【bú zài bèi】🐓攻击影【gōng jī yǐng】😝响【xiǎng】😼。手工绑【shǒu gōng bǎng】定【dìng】🥟可在MS-DOS窗口下【chuāng kǒu xià】运行以🏡下命令【lìng】🏮： arp –s 网关【wǎng guān】♊IP 网关【wǎng guān】♊MAC

例如：假设计👿算机【suàn jī】👤所处网段【wǎng duàn】🎂的【de】网关【wǎng guān】💕为218.197.192.254，本机【běn jī】👤地址【dì zhǐ】🚚为218.197.192.1在计算机【jì suàn jī】🤺上运行【shàng yùn háng】arp –a后输出如下📀：

C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic

其中【qí zhōng】00-01-02-03-04-05就是网关【wǎng guān】♊218.197.192.254对应的【duì yīng de】🌳MAC地址【dì zhǐ】🚚，类型是✖动态🙃（dynamic）的【de】，因【yīn】🔼此是可被改变。
被攻击【bèi gōng jī】后，再用该【yòng gāi】🌴命令【lìng】🏮查看【chá kàn】，就会发🏻现该💚MAC已经被【yǐ jīng bèi】😁替换成攻击机👤器【qì】🌵的【de】MAC，如果大家希望能找出【néng zhǎo chū】🎇攻击机👤器【qì】🌵，彻底根【chè dǐ gēn】🚈除攻击【chú gōng jī】，可以在此时【shí】将【jiāng】该🌴MAC记录下【jì lù xià】🚮来🚬，为以后查找做准备。

手工绑【shǒu gōng bǎng】定【dìng】🥟的命令【de mìng lìng】🏮为：
arp –s 218.197.192.254 00-01-02-03-04-05

绑定【bǎng dìng】🥟完【wán】，可再用arp –a查看【chá kàn】arp缓存【huǎn cún】🛒，
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static

这时【shí】，类型变为静态【wéi jìng tài】（static），就不会【jiù bú huì】再受攻击影【gōng jī yǐng】😝响【xiǎng】😼了。但是🗓，需要说明的是【míng de shì】，手工绑【shǒu gōng bǎng】定【dìng】🥟在计算机【jì suàn jī】🤺关【guān】📀机👤重开机👤后就会【hòu jiù huì】失效，需要再绑定【bǎng dìng】🥟。所以【suǒ yǐ】，要彻底根【chè dǐ gēn】🚈除攻击【chú gōng jī】，只有找出网段【wǎng duàn】💞内被病毒【bìng dú】😻感染的【de】计算机【jì suàn jī】🤺，令【lìng】其杀🐌毒😻，方可解🎟决【jué】。找出病【zhǎo chū bìng】毒😻计算机【jì suàn jī】🤺的【de】方法【fāng fǎ】：

如果已有病毒【bìng dú】😻计算机【jì suàn jī】🤺的【de】MAC地址【dì zhǐ】🚚，可使用【shǐ yòng】NBTSCAN软件【jiàn】找📻出网段【wǎng duàn】💞内与该🐉MAC地址【dì zhǐ】对📋应的【yīng de】🤳IP，即病毒【bìng dú】🥑计算机【jì suàn jī】🤺的【de】IP地址【dì zhǐ】🚚，然后可报告校🔼网【wǎng】络中心对其进行查【jìn háng chá】封。

NBTSCAN的使用【de shǐ yòng】方法【fāng fǎ】：
下载nbtscan.rar到硬盘【dào yìng pán】后解压【hòu jiě yā】〰，然后将【rán hòu jiāng】cygwin1.dll和🤫nbtscan.exe两文件【liǎng wén jiàn】🌠拷贝到c:\windows\system32(或system)下，进入MSDOS窗口【chuāng kǒu】就可以输😎入命令【lìng】🏮：

nbtscan -r 218.197.192.0/24 （假设本【jiǎ shè běn】⏮机👤所处的【de】网段【wǎng duàn】🖤是218.197.192，掩码是【yǎn mǎ shì】255.255.255.0；实际使【shí jì shǐ】🗂用该【yòng gāi】🌴命令【lìng】🏮时【shí】，应将【jiāng】斜体字部【tǐ zì bù】分改为🧖正确【zhèng què】🧒的【de】网段【wǎng duàn】🖤） 。

注：使用【shǐ yòng】nbtscan时【shí】，有时因【yǒu shí yīn】👷为有些计算机【jì suàn jī】🤺安装防【ān zhuāng fáng】🍗火墙软【huǒ qiáng ruǎn】🌟件【jiàn】🌠，nbtscan的【de】输出不全【bú quán】，但在计算机【jì suàn jī】🤺的【de】arp缓存【huǎn cún】🛒中却能【zhōng què néng】有所反应，所以【suǒ yǐ】使用【shǐ yòng】nbtscan时【shí】，还可同时【shí】查看【chá kàn】👂arp缓存【huǎn cún】🛒，就能得到比较❌完【wán】全的【de】网段【wǎng duàn】🖤内计算【nèi jì suàn】机🤺IP与😱MAC的对应【de duì yīng】🥎关【guān】📀系。

补充一🐷下：
Anti ARP Sniffer 使用【shǐ yòng】💉说明【shuō míng】🚽

一🐷、功能说【gōng néng shuō】明🚽:

    使用【shǐ yòng】💉Anti ARP Sniffer可以防【kě yǐ fáng】🥉止利用【zhǐ lì yòng】😙ARP技术进行数据包【jù bāo】截取📵以及防【yǐ jí fáng】止利用【zhǐ lì yòng】😙ARP技术发【jì shù fā】🚰送地址【dì zhǐ】⏱冲突数【chōng tū shù】据包【jù bāo】。

二、使用【shǐ yòng】💉说明【shuō míng】🚽：

    1、ARP欺骗：

     填入网💓关【guān】IP地址【dì zhǐ】⏱，点击【diǎn jī】🎣［获取网【huò qǔ wǎng】关【guān】mac地址【dì zhǐ】⏱］将会显🍲示【shì】出网关【guān】的【de】💌MAC地址【dì zhǐ】⏱。点击【diǎn jī】🎣[自动防【zì dòng fáng】护]即可保【jí kě bǎo】护当前【hù dāng qián】网卡与【wǎng kǎ yǔ】该网关【gāi wǎng guān】的【de】💌通信不会被🌪第三方监听。

    注意😉：如出现🦊ARP欺骗提示【shì】，这说明【shuō míng】🔸攻击【gōng jī】者🎾发送了【fā sòng le】ARP欺骗数【qī piàn shù】🔵据包【jù bāo】来获取网【huò qǔ wǎng】卡的【de】💌数据包【jù bāo】，如果您想追踪【xiǎng zhuī zōng】🏢攻击【gōng jī】🚟来源请【lái yuán qǐng】记😻住攻击【gōng jī】🦑者的【de】㊗MAC地址【dì zhǐ】⏱，利用😙MAC地址【dì zhǐ】⏱扫描器可以找出IP 对应的【de】💌MAC地址【dì zhǐ】⏱。

     2、IP地址【dì zhǐ】⏱冲突【chōng tū】

     首先点击【diǎn jī】🎣“恢复默【huī fù mò】😛认🐖”然后点🕒击🚟“防护地🤼址【zhǐ】冲突【chōng tū】”。      

     如频繁的【de】出现🤼IP地址【dì zhǐ】⏱冲突【chōng tū】，这说明【shuō míng】🔸攻击【gōng jī】者🎾频繁发送ARP欺骗数【qī piàn shù】🔵据包【jù bāo】，才会出现🎹IP冲突【chōng tū】的【de】🍦警告🧤，利用😙Anti ARP Sniffer可以防【kě yǐ fáng】🥉止此类🏝攻击【gōng jī】🚟。

    首先您【shǒu xiān nín】需要知道冲突【dào chōng tū】🍶的【de】💌MAC地址【dì zhǐ】⏱，Windows会记录🎐这些错误【wù】🏳。查看具体方法如下：

    右击🚟[我的【wǒ de】💌电脑【diàn nǎo】]-->[管理【guǎn lǐ】🍩]-->点击【diǎn jī】🎣[事件查【shì jiàn chá】看器🚷]-->点击【diǎn jī】🎣[系统]-->查看来👲源为【yuán wéi】[TcpIP]--->双击🚟事件可以看到显示【shì】地址【dì zhǐ】🔯发生冲⛰突，并记录【bìng jì lù】了该【gāi】🌇MAC地址【dì zhǐ】⏱，请复制该【gāi】MAC地址【dì zhǐ】⏱并填入Anti ARP Sniffer的本地【de běn dì】🐧MAC地址【dì zhǐ】输🧞入框中【rù kuàng zhōng】(请注意😉将🅿:转换为-)，输入完成之后点击【diǎn jī】🎣[防护地🤼址【zhǐ】冲突【chōng tū】]，为了使【wéi le shǐ】MAC地址【dì zhǐ】⏱生效请【shēng xiào qǐng】禁【jìn】🏁用本地【yòng běn dì】网卡然【wǎng kǎ rán】后再启【hòu zài qǐ】🤕用网卡🙏，在❇CMD命令行♌中输入Ipconfig /all，查看当前MAC地址【dì zhǐ】⏱是否与本地MAC地址【dì zhǐ】输🧞入框中【rù kuàng zhōng】的【de】💌MAC地址【dì zhǐ】⏱相符，如果更改失败🐖请与我【qǐng yǔ wǒ】🕗联系🌬。如果成功将🅿不再会显示【shì】地址【dì zhǐ】🔯冲突【chōng tū】。

   注意😉:如果您想恢复默【huī fù mò】😛认🐖MAC地址【dì zhǐ】⏱,请点击【diǎn jī】🔖[恢复默【huī fù mò】😛认🐖],为了使【wéi le shǐ】MAC地址【dì zhǐ】⏱生效请【shēng xiào qǐng】禁【jìn】🏁用本地【yòng běn dì】网卡然【wǎng kǎ rán】后再启【hòu zài qǐ】🤕用网卡🙏。

Windows 2000/XP测试通过!