有关ARP病毒问题的处理说明:, W" ]8 m* Z' Z( z

. s" H6 A- ^" r我爱电脑技术论坛　　故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象(无法ping通网关)，重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。
) k2 a# h4 w2 r' R4 z$ z8 H" t我爱电脑技术论坛
: g- L1 t* h& C' }, l1 O+ _　　故障原因：这是APR病毒欺骗攻击造成的。
; O  E3 x; P* k/ g9 v/ l; V0 A
, y" s% ^( n- f2 u2 A# G5 {. h0 B　　引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。
7 @- K; U0 ]: y+ l, hwww.520diannao.com
8 H0 r7 Q9 f+ j! x( P$ B- [1 p　　临时处理对策：
  T' ^; z: n, b$ _! p" Pwww.520diannao.com
4 {5 E; D/ I3 K" O/ d电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站　　步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。6 b2 Q/ f, M% `+ p+ H+ j+ r
. T: C* F' e! w, H1 v+ j/ [  M
　　注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网(攻击如果不停止的话)，一旦能上网就立即将网络断掉(禁用网卡或拔掉网线)，再运行arp –a。www.520diannao.com+ k  ~3 m' ]: i) G" O, j% \
打造最好的电脑自学交流论坛) M# P& z" O- z1 l# a  M8 w7 `
　　步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC; W2 H6 T; x; b3 W, U. u4 v' Y+ N

2 U6 _8 ]+ S; h0 V打造最好的电脑自学交流论坛　　例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后输出如下：
( I& ]. B/ Y/ ^- P3 @7 z; hwww.520diannao.com
! w- I, l) G2 z- o3 G: X/ T+ V打造最好的电脑自学交流论坛　　C:\Documents and Settings>arp -a打造最好的电脑自学交流论坛* G  r. l: C( t

0 t) j9 f( }5 xwww.520diannao.com　　Interface: 218.197.192.1 --- 0x2我爱电脑技术论坛# z: v0 {$ F* L1 p1 _

# c* u; Z9 [1 P; @; N　　Internet Address Physical Address Type
: s  D/ p) c7 `3 j电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
. ]# {) b4 E+ ~' Y3 p; F" }6 t  rwww.520diannao.com　　218.197.192.254 00-01-02-03-04-05 dynamic
/ P7 M: w$ I8 r. S* J电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站$ j2 i+ |, L  j. r# G. O# I( b
　　其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态(dynamic)的，因此是可被改变。
5 x, L8 x/ x, m3 v# a/ D打造最好的电脑自学交流论坛电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站, d5 e) t: d/ }  x/ X/ o
　　被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。
8 Q5 B. e7 L: w: t我爱电脑技术论坛
$ v, ]( H! y( ^) A% F% a0 e8 b9 C　　手工绑定的命令为：我爱电脑技术社区--打造最好的电脑技术自学交流平台* `% T9 w2 x; ^; a
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站; J, Z; E' d) J; q! X/ D
　　arp –s 218.197.192.254 00-01-02-03-04-05www.520diannao.com$ n  c# j% U- ^5 C2 X: x; x
3 _& U  l  @1 q& Y! C
　　绑定完，可再用arp –a查看arp缓存，www.520diannao.com2 K! M- B" z1 M" y" G- A1 [% d
我爱电脑技术社区--打造最好的电脑技术自学交流平台8 |1 \$ J5 Y, R
　　C:\Documents and Settings>arp -awww.520diannao.com, Z- b- |- k9 [, ^+ V0 a
www.520diannao.com0 j  `) f0 j7 H& J8 T
　　Interface: 218.197.192.1 --- 0x2电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站& S4 `3 T" C3 m2 |

7 b3 s0 g3 X, Z% Q- {$ S我爱电脑技术论坛　　Internet Address Physical Address Type+ J" z# R9 {* p  \

: v/ w6 s- B3 K0 Z! G! kwww.520diannao.com　　218.197.192.254 00-01-02-03-04-05 static我爱电脑技术社区--打造最好的电脑技术自学交流平台* p- D7 `7 @4 s: W; q6 o

6 _' }( q$ D! T% ~　　这时，类型变为静态(static)，就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法：
3 V. N4 E. G0 S& y! ?# N, r9 J% ]我爱电脑技术社区--打造最好的电脑技术自学交流平台打造最好的电脑自学交流论坛& f# @. A" z9 Q+ X3 ~
　　如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。
6 x4 l* S4 C3 l. u% M* [( `, Q! T8 B7 o: ^8 f0 ?
　　NBTSCAN的使用方法：
% d" T/ C+ b0 `1 T4 t我爱电脑技术论坛我爱电脑技术社区--打造最好的电脑技术自学交流平台# h$ X, |* ?2 Q+ I( f
　　下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令：打造最好的电脑自学交流论坛- }' k9 a9 q2 X1 m7 u
我爱电脑技术论坛2 w/ s" x4 B* G7 E1 W, O' V% N
　　nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192，掩码是255.255.255.0;实际使用该命令时，应将斜体字部分改为正确的网段) 。我爱电脑技术社区--打造最好的电脑技术自学交流平台6 M$ C$ ]  m$ x+ w

2 A8 ?+ h% i' ~5 A2 X我爱电脑技术论坛　　注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。

补充一下：
& ]- F9 t' `  {* @' |打造最好的电脑自学交流论坛
1 ?5 d0 w0 Y5 K我爱电脑技术论坛　　Anti ARP Sniffer 使用说明
! E( R" H  _# s0 [8 a( N打造最好的电脑自学交流论坛  j" w0 b- L& ~6 Z
　　一、功能说明:
3 U! U8 d: y- p) J3 I我爱电脑技术论坛
$ E! T4 J: E$ L+ R: K, A; |, Uwww.520diannao.com　　使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。
5 w; u+ z2 w9 h( C& t- a# \我爱电脑技术社区--打造最好的电脑技术自学交流平台
6 i8 x' s. g3 y4 J6 T  O! O我爱电脑技术社区--打造最好的电脑技术自学交流平台　　二、使用说明：
0 |( H* _$ j- o6 P8 ]9 E* q0 W. ^我爱电脑技术论坛/ W& F3 Z. Z" O
　　1、ARP欺骗：电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站3 J/ f& Z2 R# e+ x7 L) L
我爱电脑技术社区--打造最好的电脑技术自学交流平台  C) ^7 |7 I8 t+ @' v
　　填入网关IP地址，点击[获取网关mac地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。2 E. D4 Z9 P- E
1 ~- I$ O( j; Q- ~$ E( }2 j
　　注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。: q  i1 S7 l  \! C

0 o1 z) {( n+ _9 n$ G　　2、IP地址冲突
* Q  Z+ R( J; p+ h; z' z3 q" n电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
4 N; y5 M( r9 g电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站　　首先点击“恢复默认”然后点击“防护地址冲突”。打造最好的电脑自学交流论坛0 |; v/ ]" P4 O* E* G- h9 h  @

, Y" |+ v7 x& ~$ `  t4 d我爱电脑技术论坛　　如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。我爱电脑技术论坛: a* r! h3 g/ r+ L! ^  r
www.520diannao.com7 g3 q) @( G8 D6 L- Z6 \
　　首先您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：6 A+ h; i. `! W4 m3 Y* i$ m& O/ G
: b. x& o" z& ~- ]
　　右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。
( E4 S  u9 A, I, v我爱电脑技术论坛6 z& m- }. G8 O% ~% v: L
　　注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
# k# v0 {& P6 ?6 [- n1 C' \我爱电脑技术社区--打造最好的电脑技术自学交流平台
) ^1 n8 J+ n+ R　　Windows 2000/XP测试通过!