病毒警告提示

    一、ARP协议不坚定的“投递员”

    很多朋友都认为此现象是由于中了病毒或木马造成的，其实追根溯源，这与ARP协议本身有很大关系。这位“投递员”无法区分局域网广播或ARP询问包的是否真实，从而造成用户无法通过MAC与IP的映射，访问正确的地址。网上关于ARP协议的资料很多，在此不再复述。

    通常的ARP攻击对象包括路由器和局域网中的客户端主机，其中针对客户端主机的攻击居多，因此着重于客户端主机ARP欺骗的防治。通常解决ARP欺骗攻击的方法有三种：

    1、 利用ARP echo传送正确的ARP对照表，达到防御目的；
    2、 进行MAC与IP地址的绑定，生成固定的ARP对照表，保证映射关系的正确；
    3、 采用其他协议（如：PPPoE）传送地址信息。

    以上三种方法中，第二种方法最为方便和有效。主要原因如下：使用ARP echo方式，需要配置一台负责发送ARP echo广播的设备，当ARP攻击非常频繁时，该设备的负担将很大，因此ARP echo将无法达到理想的效果。而局域网主机众多的网络，想要实施第三种方法，其工作量也是相当庞大的。因此，上述三种方法中，以第二种方法最为实用。 

    若使用第二种方法，就需要查找出局域网中，发送虚假ARP信息或中了ARP病毒的主机，这里为大家介绍一款非常简便实用的工具：ARP防火墙，此软件可以安装在局域网中任意一台主机上，软件中提供了“追踪”功能，可以自动识别哪台机器发起了ARP攻击，从而帮助用户采取有针对性的防治措施。其实，即使是没有发起ARP攻击的主机，也可以安装此软件进行预防，因为它不仅可以阻挡外来的ARP攻击，也可以阻断主机自身发送ARP攻击包，去攻击局域网中其他的主机。图2

ARP防火墙

    
    三、清除ARP病毒

    查找出发起攻击的主机后，需要对计算机进行检查，查看其是否中了ARP病毒，对于感染了Arp欺骗病毒（木马）的机器可以使用以下两款软件（都是完全免费的软件）对其进行查杀：

    1、恶意软件清理助手下载：该软件是绿色免费软件，无需安装，可升级特征库。
    2、360安全卫士由此下载：免费软件，需要安装，可升级特征库。 

    如果中毒的主机较多，通常此过程需要较长的时间，此期间，为了解决其他主机上网以及正常的工作，可以对遭受攻击的其他主机进行地址绑定。这里为大家推荐一款可以绑定MAC的小软件（下载地址：http://green.crsky.com/soft/6064.html），这也是一款绿色的软件，下载后解压，双击相应的exe程序即可运行。图3

MAC绑定

    
    首先，双击图3中的“MacScan.exe”打开MAC地址扫描窗口。扫描完成后，会在当前目录下，自动生成和创建“BindArp.bat”批处理文件，同时也将扫描出的MAC和IP地址添加到ini文件“ArpList.ini”中，格式如下：

    192.168.1.1|00:14:78:AE:9F:28
    192.168.1.2|00:14:78:1B:A7:36
    192.168.1.11|00:0C:76:11:1A:9C
    192.168.1.12|00:19:21:8A:53:F3
    192.168.1.16|00:40:05:63:19:59
    ……图4

 MAC地址扫描

ARP绑定程序

    
    为了使绑定程序可以自动运行，可将“BindArp.exe”拖动到启动菜单中让自动运行即可，还有一种方法，也可以将运行“MacScan.exe”后，自动生成的“BindArp.bat”批处理文件拖动到启动菜单，进行计算机启动时的MAC与IP的自动绑定。

    提示：进行MAC绑定时，不能运行“ARP防火墙“，因为ARP防火墙的进程保护功能会阻止批处理文件修改ARP对照表，不仅如此，甚至连杀毒软件也无法访ARP防火墙的进程。

    结束语：这里需要提醒大家的是，当局域网增加主机或主机更换网卡以及修改IP地址后，需要使用“MacScan.exe”重新扫描MAC地址列表，并分发“ArpList.ini”文件，因此，查找出发起ARP攻击的主机，并对其进行有效的清除，才能减少工作量。