解决ARP欺骗病毒的思路

前言：前段时间除了威金（viking.worm）病毒外，部分客户也报在网内典型的arp病毒攻击症状。具体表现为内外网络大面积中断；重启网关设备或客户端主机后症状缓解，但很快又发生相同故障；故障发生时无法ping通网关。

解决思路：

1.在客户端上做静态IP-MAC地址绑定；

2.使用arp -a命令查看mac地址表，试图找出arp病毒宿主计算机并隔离处理；

***arp命令的替代方法，是使用 nbtscan在命令行下扫描整个网段的netbios-mac信息，试图找出arp病毒宿主计算机并隔离处理；（ yqslink提供信息）

3.使用tracert命令追踪路由路径，试图找出arp病毒宿主计算机并隔离处理；

4.使用AntiArpSniffer对网络进行arp攻击侦听。

***补充一点：用好sniffer也是排查网络故障的重要思路。

应急处理：

1.在中毒客户端主机运行  arp -d ，清除arp列表，可 暂时恢复该主机正常网络通讯；

2.在中毒客户端主机进行针对网关的静态IP-MAC地址绑定，命令 arp -s 网关ip 网关mac；（注意计算机重启后记录失效）

ARP病毒分析：

引起问题的原因据说是由某款网游（CQ）外挂携带的ARP木马攻击所致。外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器错误将其作为网关