現(xiàn)在局域網(wǎng)中感染ARP病毒的情況比較多,清理和防范都比較困難,給不少的網(wǎng)絡(luò)管理員造成了很多的困擾.下面就是個(gè)人在處理這個(gè)問(wèn)題的一些經(jīng)驗(yàn),同時(shí)也在網(wǎng)上翻閱了不少的參考資料. YKs^aQm#  
&`4v,l^Zi6  
d ;W(Vm6  
ARP病毒的癥狀 HQl_/:Wx  
有時(shí)候無(wú)法正常上網(wǎng)，有時(shí)候有好了，包括訪問(wèn)網(wǎng)上鄰居也是如此，拷貝文件無(wú)法完成，出現(xiàn)錯(cuò)誤；局域網(wǎng)內(nèi)的ARP包爆增，使用ARP查詢的時(shí)候會(huì)發(fā)現(xiàn)不正常的MAC地址，或者是錯(cuò)誤的MAC地址對(duì)應(yīng)，還有就是一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的情況也會(huì)有出現(xiàn)。 +R?d6IjH  
7lz"^  
ARP攻擊的原理 $di8#O*  
ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)，滿足之一可視為攻擊包報(bào)警：第一以太網(wǎng)數(shù)據(jù) 包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配�；蛘�，ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù) 庫(kù)MAC/IP不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警，查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)，就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了�，F(xiàn)在有網(wǎng)絡(luò)管理 工具比如網(wǎng)絡(luò)執(zhí)法官、P2P終結(jié)者也會(huì)使用同樣的方式來(lái)偽裝成網(wǎng)關(guān)，欺騙客戶端對(duì)網(wǎng)關(guān)的訪問(wèn)，也就是會(huì)獲取發(fā)到網(wǎng)關(guān)的流量，從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān) 控等功能，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)管理帶來(lái)潛在的危害，就是可以很容易的獲取用戶的密碼等相關(guān)信息。 }];_ug* "  
^~%zPlv  
處理辦法 *S@0o6v  
通用的處理流程 -N[Q*;h|  
1.先保證網(wǎng)絡(luò)正常運(yùn)行 u2