ARP病毒的简易查杀方法

       最近一位朋友的网吧遇到病毒，经常断网并且网络速度缓慢，猜测是ARP病毒，以前还不曾遇到过ARP病毒的感染情况，只是听说而没有实践过。这次，在网络中快速查阅了相关资料，对ARP病毒的查杀有了新的认识。

       提示：原理在这里就不多说了，不懂原理的人就不必向下看了。

       较专业的方法是使用网络监控软件（如Iris等），对网络状况进行分析。这里介绍一个简单的查杀方法。

      1.快速检测局域网是否中ARP病毒的方法：利用系统自带的ARP命令即可完成。在任何一台受病毒影响的电脑上，在开始菜单中点击，在运行命令行中输入cmd命令，然后在命令行状态下输入 arp -a，窗口会显示ARP列表的信息：

             Internet Address      Physical Address        Type               192.168.0.1          00-50-56-e6-49-56      dynamic

由于，ARP病毒会更改每个受影响的计算机的ARP缓冲列表，将本机的MAC地址假冒为网关的MAC地址，因此对照上面网关的MAC地址与实际网关的MAC地址，如果不相符，则表明局域网中的计算机已经中了ARP病毒。

    2.定位中病毒的计算机的方法：在上面显示的MAC地址就是中ARP病毒的计算机的MAC地址。（平时要备份每台计算机的MAC地址与iP地址的对应表，可以使用nbtscan工具扫描全网段的IP地址和MAC地址，nbtscan -r 192.168.16.0/24，保存下来，以备后用。）这时，可以通过此处的MAC地址从对照表中查出对应的iP从而找到对应的计算机。

    3.查杀中毒ARP病毒的方法： 电脑中毒时并无明显异常现象，这类病毒运行时自身无进程，通过注入到Explorer.exe进程来实现隐藏自身。其注册表中的启动项也很特殊，并非常规的Run键值加载，也不是服务加载，而是通过注册表的AppInit_DLLs 键值加载实现开机自启动的，这一点比较隐蔽，因为正常的系统AppInit_DLLs键值是空的。可以使用AutoRuns等软件扫描查杀。

    4.预防措施：

（1）双向绑定，在计算机正常时，在路由器中设置IP与MAC地址的绑定（也可以在交换机上绑定）。在客户机上使用下列命令：

arp -d  rem 清空ARP缓存
arp -s IP MAC rem 绑定IP与MAC

注意：使用此方法不能使用路由的DHCP设置动态IP分配。

（2）设置路由器的ARP防毒设置，但是这样会降低网络的访问速度。

（3）给客户端添加路由信息。手动添加路由的命令如下：

route delete 0.0.0.0;删除默认的路由
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;添加路由
route change;确认修改

注意：这样当改变网关时需要改变路由设置。

详细的关于查杀和预防ARP病毒的方法，请参阅http://www.51cto.com/art/200609/31897.htm