最近，小武單位的局域網總是不穩定，連連出現斷網的現象。給同事們網絡辦公帶來很多不變。起初小武還以為局內信息中心故障呢？可是小武發現掉線越來越頻繁。與信息中心聯系后，才發現其他單位電腦正常，沒有發生過掉線現象。小武這下才認定問題出現在自己單位。經過對硬件檢測后，小武斷定是病毒在搗鬼！根據局域網內計算機頻繁掉線的現象，小武認為單位的某臺電腦可能中了“ARP”的病毒，這種病毒有些殺毒軟件很難根除，于是小武便在局域網內展開了ARP病毒捕殺過程。

　　小提示:ARP病毒病毒發作時候的特征:

　　中該病毒的電腦會偽造某臺電腦的MAC地址，如該偽造地址為網關服務器的地址，那么對整個網絡均會造成影響，用戶表現為上網經常瞬斷。

　　一、找出病毒的根源

　　首先小武打開局域網內所有電腦，隨后下載了一款名為“Anti Arp Sniffer”(http://www.antiarp.com/)的工具，這是一款ARP防火墻軟件，該軟件通過在系統內核層攔截虛假ARP數據包來獲取中毒電腦的ip地址和MAC地址。此外，該軟件能有效攔截ARP病毒的攻擊，保障該電腦數據流向正確。

　　使用“Anti Arp Sniffer”查找感染毒電腦時，啟動該程序，隨后小武在右側的“網關地址”項中輸入該局域網內的網關IP，隨后單擊“枚取MAC”這是該出現會自動獲取到網關電腦網卡的MAC地址(見圖1)。MAC獲取后單擊“自動保護”按鈕，這樣“Anti Arp Sniffer”便開始監視通過該網關上網的所有電腦了。

　　片刻功夫，小武看到系統的任務欄中的“Anti Arp Sniffer”圖標上彈出一個“ARP欺騙數據包”提示信息(見圖2)。這就說明該軟件已經偵測到ARP病毒。于是小武打開“Anti Arp Sniffer”程序的主窗口，在程序的“欺騙數據具體記錄”列表中看到一條信息，這就是“Anti Arp Sniffer”程序捕捉的ARP病毒信息。

　　其中“網關IP地址”和“網關MAC地址”兩項中是網關電腦的的真實地址，后面的欺騙機MAC地址就是中ARP病毒的MAC地址。ARP病毒將該局域網的網關指向了這個IP地址，導致其他電腦無法上網。

　　二、獲取欺騙機IP

　　“Anti Arp Sniffer”雖然能攔截ARP病毒，但是不能有效的根除病毒。要想清除病毒小武決定還要找到感染ARP病毒的電腦才行。通過“Anti Arp Sniffer”程序小武已經獲取了欺騙機的MAC，這樣只要找到該MAC對應的IP地址即可。

　　獲取IP地址，小武請來了網管工具“網絡執法官”(http://www.mydown.com/soft/236/236679.Html)，運行該出現后，在“指定監控范圍”中輸入單位局域網IP地址段，隨后單擊“添加/修改”按鈕，這樣剛剛添加的IP地址段將被添加到下面的IP列表中。假如局域網內有多段IP，還可以進行多次添加。

　　添加后，單擊“確定”按鈕，進入到程序主界面?！熬W絡執法官”開始對局域網內的所有電腦進行掃描，隨后顯示出所有在線電腦信息，其中包括網卡MAC地址、內網IP地址、用戶名、上線時間以及下線時間等。在這樣我就可以非常方便地通過MAC查找對應的IP地址了(見圖5)。

　　三、清除ARP病毒

　　小武順藤摸瓜，通過IP地址有找到了感染病毒的電腦，小武第一反應就是將這臺電腦斷網，隨后在該電腦上運行“ARP病毒專殺”包中的“TSC.EXE”程序(http://it.wust.edu.cn/spkill/tsc.rar)，該程序運行后，自動掃描電腦中的ARP病毒，功夫不大就將該電腦上的ARP病毒清除了。

　　小武折騰了半天，終于將ARP病毒根除了，這下局域網內有恢復了往日的平靜，同事們可以坐在自己電腦前上網辦公了。