最近以来，公司局域网中很多机器中了ARP木马，在网络中发送大量的虚假ARP数据包，造成其他机器无法正常上网。勉强可以上网的机器，也频繁弹出病毒警告窗口，严重影响了正常的工作。为了解决这个问题，使用了很多方法，此文将这些此过程中积累的一些经验进行了总结，与大家分享。图1

      病毒警告提示

      一、ARP协议不坚定的“投递员”

      很多朋友都认为此现象是由于中了病毒或木马造成的，其实追根溯源，这与ARP协议本身有很大关系。这位“投递员”无法区分局域网广播或ARP询问包的是否真实，从而造成用户无法通过MAC与IP的映射，访问正确的地址。网上关于ARP协议的资料很多，在此不再复述。

      通常的ARP攻击对象包括路由器和局域网中的客户端主机，其中针对客户端主机的攻击居多，因此着重于客户端主机ARP欺骗的防治。通常解决ARP欺骗攻击的方法有三种：

      1、 利用ARP echo传送正确的ARP对照表，达到防御目的；

      2、 进行MAC与IP地址的绑定，生成固定的ARP对照表，保证映射关系的正确；

      3、 采用其他协议（如：PPPoE）传送地址信息。

      以上三种方法中，第二种方法最为方便和有效。主要原因如下：使用ARP echo方式，需要配置一台负责发送ARP echo广播的设备，当ARP攻击非常频繁时，该设备的负担将很大，因此ARP echo将无法达到理想的效果。而局域网主机众多的网络，想要实施第三种方法，其工作量也是相当庞大的。因此，上述三种方法中，以第二种方法最为实用。

      二、查找攻击主机

      若使用第二种方法，就需要查找出局域网中，发送虚假ARP信息或中了ARP病毒的主机，这里为大家介绍一款非常简便实用的工具：ARP防火墙，此软件可以安装在局域网中任意一台主机上，软件中提供了“追踪”功能，可以自动识别哪台机器发起了ARP攻击，从而帮助用户采取有针对性的防治措施。其实，即使是没有发起ARP攻击的主机，也可以安装此软件进行预防，因为它不仅可以阻挡外来的ARP攻击，也可以阻断主机自身发送ARP攻击包，去攻击局域网中其他的主机。图2

      ARP防火墙
     
      三、清除ARP病毒

      查找出发起攻击的主机后，需要对计算机进行检查，查看其是否中了ARP病毒，对于感染了Arp欺骗病毒（木马）的机器可以使用以下两款软件（都是完全免费的软件）对其进行查杀：

      1、恶意软件清理助手下载：该软件是绿色免费软件，无需安装，可升级特征库。

      2、360安全卫士由此下载：免费软件，需要安装，可升级特征库。
      
 
      四、MAC地址绑定

      如果中毒的主机较多，通常此过程需要较长的时间，此期间，为了解决其他主机上网以及正常的工作，可以对遭受攻击的其他主机进行地址绑定。这里为大家推荐一款可以绑定MAC的小软件（下载地址：http://green.crsky.com/soft/6064.html），这也是一款绿色的软件，下载后解压，双击相应的exe程序即可运行。图3

      
      MAC绑定

      首先，双击图3中的“MacScan.exe”打开MAC地址扫描窗口。扫描完成后，会在当前目录下，自动生成和创建“BindArp.bat”批处理文件，同时也将扫描出的MAC和IP地址添加到ini文件“ArpList.ini”中，格式如下：

      192.168.1.1|00:14:78:AE:9F:28

      192.168.1.2|00:14:78:1B:A7:36

      192.168.1.11|00:0C:76:11:1A:9C

      192.168.1.12|00:19:21:8A:53:F3

      192.168.1.16|00:40:05:63:19:59

……图4

      MAC地址扫描

      以上步骤完成后，双击图3中exe程序“BindArp.exe”，即可根据“MacScan.exe”的扫描结果进行MAC地址的绑定。为了使省事，可以将“BindArp.exe”和“ArpList.ini”拷贝到其他主机，双击运行即可。图5

      ARP绑定程序

      为了使绑定程序可以自动运行，可将“BindArp.exe”拖动到启动菜单中让自动运行即可，还有一种方法，也可以将运行“MacScan.exe”后，自动生成的“BindArp.bat”批处理文件拖动到启动菜单，进行计算机启动时的MAC与IP的自动绑定。

      提示：进行MAC绑定时，不能运行“ARP防火墙“，因为ARP防火墙的进程保护功能会阻止批处理文件修改ARP对照表，不仅如此，甚至连杀毒软件也无法访ARP防火墙的进程。

      结束语：这里需要提醒大家的是，当局域网增加主机或主机更换网卡以及修改IP地址后，需要使用“MacScan.exe”重新扫描MAC地址列表，并分发“ArpList.ini”文件，因此，查找出发起ARP攻击的主机，并对其进行有效的清除，才能减少工作量。