最近一位朋友的網咖遇到病毒，經常斷網並且網路速度緩慢，猜測是ARP病毒，以前還不曾遇到過ARP病毒的感染情況，只是聽說而沒有實踐過。這次，在網路中快速查閱了相關資料，對ARP病毒的查殺有了新的認識。

       提示：原理在這裡就不多說了，不懂原理的人就不必向下看了。

       較專業的方法是使用網路監控軟體（如Iris等），對網路狀況進行分析。這裡介紹一個簡單的查殺方法。

      1.快速檢測區域網是否中ARP病毒的方法：利用系統自帶的ARP命令即可完成。在任何一臺受病毒影響的電腦上，在開始選單中點選，在執行命令列中輸入cmd命令，然後在命令列狀態下輸入 arp -a，視窗會顯示ARP列表的資訊：

             Internet Address      Physical Address        Type               192.168.0.1          00-50-56-e6-49-56      dynamic

由於，ARP病毒會更改每個受影響的計算機的ARP緩衝列表，將本機的MAC地址假冒為閘道器的MAC地址，因此對照上面閘道器的MAC地址與實際閘道器的MAC地址，如果不相符，則表明區域網中的計算機已經中了ARP病毒。

    2.定位中病毒的計算機的方法：在上面顯示的MAC地址就是中ARP病毒的計算機的MAC地址。（平時要備份每臺計算機的MAC地址與iP地址的對應表，可以使用nbtscan工具掃描全網段的IP地址和MAC地址，nbtscan -r 192.168.16.0/24，儲存下來，以備後用。）這時，可以通過此處的MAC地址從對照表中查出對應的iP從而找到對應的計算機。

    3.查殺中毒ARP病毒的方法： 電腦中毒時並無明顯異常現象，這類病毒執行時自身無程序，通過注入到Explorer.exe程序來實現隱藏自身。其登錄檔中的啟動項也很特殊，並非常規的Run鍵值載入，也不是服務載入，而是通過登錄檔的AppInit_DLLs 鍵值載入實現開機自啟動的，這一點比較隱蔽，因為正常的系統AppInit_DLLs鍵值是空的。可以使用AutoRuns等軟體掃描查殺。

    4.預防措施：

（1）雙向繫結，在計算機正常時，在路由器中設定IP與MAC地址的繫結（也可以在交換機上繫結）。在客戶機上使用下列命令：

arp -d  rem 清空ARP快取
arp -s IP MAC rem 繫結IP與MAC

注意：使用此方法不能使用路由的DHCP設定動態IP分配。

（2）設定路由器的ARP防毒設定，但是這樣會降低網路的訪問速度。

（3）給客戶端新增路由資訊。手動新增路由的命令如下：

route delete 0.0.0.0;刪除預設的路由
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;新增路由
route change;確認修改

注意：這樣當改變閘道器時需要改變路由設定。