由于局域网在最初设计的时候没有考虑安全的问题，所以存在很多漏洞，arp欺骗就是最常见的一种。

ARP欺骗分为二种，一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

arp病毒 被攻击表现

⒈用户频繁断网、上网时感觉网络经常掉线，重新开机或修复本地连接(或先停用再启用)后网络恢复正常但几分钟后网络再次中断，甚至客户端无法登陆，但是在某一闲时或半夜某一人上网时自己可以上!

⒉IE浏览器在使用过程中频繁出错或自动关闭网页。甚至只有发送没有接收的数据包!

⒊一些常用软件经常出现故障或非正常自动关闭，但是在上网人数较少或某一时段正常的!

如何发现清除arp病毒

1 、检查本机的“ ARP 欺骗”木马染毒进程

点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2 、检查网内感染“ ARP 欺骗”木马染毒的计算机

1)在“开始” “运行”输入cmd后确定。

2)在弹出的命令提示符框中输入并执行以下命令ipconfig

3)记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 10.17.1.1”。

4)再输入并执行 以下命令：arp –a

5)在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-05-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

⒊静态ARP绑定网关

步骤一：

在能正常上网时，进入MS-DOS窗口，输入命令：arp -a，查看网关的IP对应的正确MAC地址， 并将其记录下来。

注意：如果已经不 能上网则输入一次命令arp -d将arp缓存中的内容删空，计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线)，再运行arp -a。

步骤二：

如果计算机已经有网关的正确MAC地址，而不能上网。只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。

要想手工绑定，可在MS-DOS窗口下运行以下命令：

arp -s 网关IP 网关MAC

例如：假设计算机所处网段的网关为10.17.1.1，本机地址为10.17.1.14，在CMD命令行工具下输入arp -a后输出如下：

C:\>arp -a

Interface: 192.168.40.101 --- 0x10004

Internet Address Physical Address Type

192.168.40.1 ec-88-8f-b8-1f-fc dynamic

其中，ec-88-8f-b8-1f-fc就是网关192.168.40.1对应的MAC地址，类型是动态(dynamic)的，因此是可被改变的。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。

手工绑定arp的命令为：

arp –s 192.168.40.1 ec-88-8f-b8-1f-fc

绑定完，可再用arp -a查看arp缓存：

C:\>arp -a

Interface: 192.168.40.101 --- 0x10004

Internet Address Physical Address Type

192.168.40.1 ec-88-8f-b8-1f-fc static

这时，类型变为静态(static)，就不会再受攻击影响了。

但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。

下载arp防御软件

⒈金山ARP防火墙beta。

双向拦截ARP攻击、支持Vista、初级用户零设置+丰富的高级设置、安装免重启、低资源占用。

⒉ 360ARP防火墙

防范从我做起

⒈查杀病毒和木马。采用杀毒软件(需更新至最新病毒库)、采用最新木马查杀软件进行在安全模式下彻底查杀(计算机启动时时按F8可进入安全模式)。

⒉不使用不良网管软件。

⒊不使用软件更改自己的mac地址。

⒋发现别人恶意攻击或有中毒迹象(例如发现arp攻击地址为某台计算机的mac地址)，及时告知和制止。

有效认识病毒

ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。