对ARP病毒攻击的防范和处理如果在使用网络时速度越来越慢，直至掉线，而过一段时间后又可能恢复正常，或者，重启路由器后又可正常上网。故障出现时，网关ping不通或有数据丢失，那么很有可能是受到了ARP病毒攻击。下面我就谈谈对这种情况处理的一些意见。一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢，或者突然掉线时，我们可以用arp-命令来检查ARP表：（点击开始按钮->选择运行->输入cmd点击确定按钮，在窗口中输入arp-a命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。2、利用AntiARPSniffer软件查看（详细使用略）。二、找出ARP病毒主机1、用“arp–d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。通过上面的arp–a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig/all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以取到PC的真实IP地址和MAC地址。命令：“nbtscan-r192.168.80.0/24”（搜索整个192.168.80.0/24网段,即192.168.80.1-192.168.80.254）；或“nbtscan192.168.80.25-137”搜索192.168.80.25-137网段，即192.168.80.25-192.168.80.137。输出结果第一列是IP地址，最后一列是MAC地址。这样就可找到病毒主机的IP地址。2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert–dHYPERLINK"http://www.163.com/"\t"_blank"www.163.com，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。但如果不是上面这种情况，IP设置又无规律，或者IP是动态获取的那该怎么办呢？难道还是要一个个去查？非也！你可以这样：把一台机器的IP地址设置成与作祟机相同的相同，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。三、处理病毒主机1、用杀毒软件查毒，杀毒。2、建议重装系统，一了百了。（当然你应注意除系统盘外其他盘有无病毒）四、如何防范ARP病毒攻击1、从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗，这个确实是最好解决的办法，但如果电脑数量多的情况下，在路由器上作绑定工作量将很大，我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了，在PC上绑定可以按下面方法做：1）首先，获得路由器的内网的MAC地址（例如网关地址172.16.1.254的MAC地址为0022aa0022ee）。2）编写一个批处理文件rarp.bat内容如下：@echooffarp-darp-s172.16.1.25400-22-aa-00-22-ee将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。这样即减轻了一台台设置的麻烦，也避免了由于电脑重新启动使得数据又要重做的麻烦。当然最好电脑要有还原卡和保护系统，使得这个批处理不会被随意删除掉。2、作为网络管理员，我认为应该充分利用一些工具软件，备一些常用的工具，就ARP而言，推荐在手头准备这样几个软件：①“AntiARPSniffer”（使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包，并能查找攻击主机的IP及MAC地址）。②“NBTSCAN”（NBTSCAN可以取到PC的