彻底清除局域网内arp病毒

　　要彻底根除arp病毒攻击，只有找到局域网内被病毒感染的计算机，病毒程序给与清除，方可真正地解决。根据病毒在局域网中发作时间，快速定位攻击发起端，找到问题的根源。对已有病毒计算机的MAC地址，使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后对其进行查封。 NBTSCAN的使用方法：下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令： nbtscan -r 10.1.180.0/24 （假设本机所处的网段是10.1.180.192，掩码是255.255.255.0；实际使用该命令时，应将改为正确的网段）。 注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的局域网内计算机IP与MAC的对应关系。

　　防御的最有效方法是“IP与MAC地址绑定”

　　1、在PC上绑定路由器的IP和MAC地址。

　　在c:\（C盘根目录）下创建或修改autoexec.bat文件，加入如下命令：
　　arp -d
　　arp -s 10.1.180.1  00-22-aa-11-22-6s
　　autoexec.bat放在C盘根目录下，每次开机后会自动执行。arp -d 删除ARP缓存表中的所有条目，arp -s 10.1.180.1  00-22-aa-11-22-6s静态绑定网关IP地址与MAC地址。使用时将网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 把该文件放到启动菜单中，重启计算机，就能执行该文件。

　　2、在路由器上绑定的PC上IP和MAC地址

　　通过NBTSCAN软件获取局域网内每台计算机IP和对应MAC地址。如图1

　　根据路由器所提供IP/MAC绑定功能，将路由器对没有绑定的IP/MAC将其封锁，当内网有ARP欺骗攻击的时候，其伪造IP/MAC向路由器发送消息，这时候由于伪造的IP/MAC并不在路由器的IP/MAC绑定列表里面，路由器会拒绝这类消息，将其挡掉。

　　通过一些手段来进一步控制ARP的攻击。
（1）病毒源，对病毒源头的机器进行处理，杀毒或者重新装系统。
（2）管理员定期检查局域网是否有病毒，安装杀毒软件。
（3）及时为系统安装补丁程序。
（4）给系统管理员帐户设置足够复杂的强密码。
（5）经常更新杀毒软件，安装并使用网络防火墙软件。
（6）建议不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，避免病毒的传播。

　　尽管近期ARP病毒版本不断更新、不断升级，给我们网络不断带来新的冲击与危害；如果能够提前能够提前做好防制工作，相信ARP的危害会减少到最小的程度，给我们网络一片净土。