ARP病毒的清除
    处理原则：及时恢复网络，再查找根源，最后清除病毒。比如：有一台计算机中ARP病毒后，第一时间不能确定具体的那台计算机，这种情况下，可先保证网络正常运行：
    一、在中毒客户端主机运行 arp -d ，清除arp列表，可暂时恢复该主机正常网络通讯。

    二、在中毒客户端主机进行针对网关的静态IP-MAC地址绑定，命令arp -s 网关ip 网关mac，为避免计算机重启后记录失效，可编写一个批处理文件rarp1.bat，内容如下：
    @echo off
    arp –d
    arp -s 您自己的网关Ip地址和MAC地址
    将这个批处理软件拖到“windows--开始--程序--启动”中。

     三、编写一个批处理，定时刷新arp缓存表
    脚本代码如下:   主程序arp.bat
    @echo off
    cscript sleep.vbs
    arp –d
    exit
    辅助计时程序 sleep.vbs
    wscript.sleep 3000

     就这样，把代码复制到记事本里，然后分别保存为arp3.bat，其中的3000 是指ARP更新的时间。然后根据定位端口的方式找到病毒源，给予清除。

    ARP病毒的防御
    设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。在使用ARP服务器时应通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播，确保ARP服务器不被黑。并且使用硬件屏蔽主机，首先设置好路由，确保IP地址能到达合法的路径（静态配置路由ARP条目）。如：华 为的H3C AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫，该路由器提供MAC和IP地址绑定功能，可以根据用户的配置，在特定的IP地址和MAC地址 之间形成关联关系。对于声称从这个IP地址发送的报文，如果其MAC地址不是指定关系对中的地址，路由器将予以丢弃，是避免IP地址假冒攻击的一种方式。其次管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性，并检查主机上的ARP缓存。

    安全建议
    一、在网络正常时候保存好全网的IP—MAC地址对照表，这样在查找ARP中毒电脑时很方便。
    二、都全网的电脑都打上MS06-014和MS07-017这两个补丁，包括所有的客户端和服务器，以免感染网页木马。
    三、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。
    四、做好IP—MAC地址的绑定工作，对于从这个IP地址发送的报文，如果其MAC地址不是指定关系对中的地址，予以丢弃。
    五、部署网络版的杀毒软件，定期升级病毒库，定期全网杀毒。