0 ARP病毒导致网络断断续续的解决方法

ARP病毒导致网络断断续续的解决方法
近期比较盛行“ARP欺骗类”木马病毒，病毒发作会导致同一个子网中的计算机经常自动断网（无法ping通网关），上网断断续续。
一、查杀病毒
已经感染ARP类木马病毒的用户，下载360安全卫士/趋势SysClean工具或其他杀毒软件进行清除病毒木马。
1、360安全卫士下载地址http://www.360safe.com/
查杀功能:查杀恶意软件、卸载多余插件等……
修复：修复IE浏览器、修复系统漏洞(将自动扫描未安装的系统补丁，推荐使用该功能安装系统补丁)
具体使用方法大家请看官方网站
2、趋势SysClean下载地址
http://antivirus.seu.edu.cn/soft/sysclean.exe。
二、解决方法
1、临时处理对策：
　　1)arp –d命令
在能上网时，点出 [开始]菜单 - 选[运行] ，输入
"cmd" 并确定调出"命令提示符"窗口,进入MS-DOS窗口，输入命令：arp –a
查看网关IP对应的正确MAC地址，将其记录下来。
    注：如果已经不能上网，则先运行一次命令arp
–d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp
–a。
   
2）手工绑定ARP
如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：
arp –s 网关IP 网关MAC
   
例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp
–a后输出如下：
     
=====================================================
注：网关的获取方法：
点出 [开始]菜单
- 选[运行] ，输入 "command" 并确定调出"命令提示符"窗口
     
输入以下命令并按回车键：
     
C:\>ipconfig
      记录网关 IP 地址，即 "Default
Gateway" 对应的值，例如 "192.168.0.254" 。
     
屏幕输出例子：
           
其中： 
红色部分表示用户自己的IP地址
                   
蓝色部分表示子网掩码
                   
棕色部分表示网关地址
        Windows IP
Configuration
        Ethernet adapter
Broadcom:
       
Connection-specific DNS Suffix  .
:
        IP Address. . . . . . . .
. . . .    :
192.168.0.1
        Subnet Mask . .
. . . . . . . . . :
255.255.255.0
        Default
Gateway . . . . . . . . . :
192.168.0.254
       
-------------------------------------
=====================================================
C:\Documents
and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address
Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。
被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。
手工绑定的命令为：
arp –s 218.197.192.254
00-01-02-03-04-05
’注释:  (你的网关IP)     
(正常上网时arp –a 看到的网关IP)
绑定完，可再用arp –a查看arp缓存，
C:\Documents and
Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address
Physical Address Type
218.197.192.254 00-01-02-03-04-05 static
这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法：
======================================================= 

另：可以编写一个批处理文件arp.bat
操作方法：
打开一个记事本，输入如下内容：
　  @echo off

　　arp -d
　　arp –s 218.197.192.254
00-01-02-03-04-05
   
‘             
(你的网关IP)      (正常上网时arp –a 看到的网关IP) 
---此行不要输入，只是注释用
另存为:arp.bat
文件类型选"所有文件"
将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。

将这个批处理软件拖到“window->开始->程序->启动”中。
===================================================
2、使用防ARP欺骗软件antiarp(推荐)
Anti
ARP Sniffer V3.5 免费版:下载地址: http://www.antiarp.com/download.html