王荣桂

随着局域网规模的不断扩大，网络运维的难度也越来越大。特别是遇到ARP病毒攻击后，局域网中的计算机无缘无故就会出现断网现象，时而这台电脑，时而另一台电脑，出现IP地址冲突，网速时快时慢，严重影响了网络的正常通讯。

一、判断是否是ARP攻击

当发现上网明显变慢，或者突然掉线时，我们可以用ARP命令来检查ARP表。依次单击桌面“开始→运行”菜单，打开“运行”对话框，在“打开”后输入“CMD”命令并回车，进入“CMD”命令提示符界面。接着，在提示符后输入“ARP-A”并回车（图1）如果显示的网关的MAC地址发生了改变，或者有很多IP地址是指向同一个物理地址，可以判定受到了ARP攻击。

二、揪出ARP病毒的主机

通过上面的“ARP-A”命令，那个改变的网关MAC地址或多个IP指向的物理地址，就是病毒主机的MAC地址。接着，再次进入“CMD”命令提示符界面，在提示符后输入“Ipconfig/all”并回车，就可以查出每台计算机的MAC地址（图2）。如果局域网中计算机数量很多的话，可以使用“NBTSCAN”扫描PC的真實IP地址和MAC地址。下载nbtscan.rar文件，将解压好的“cygwin1.dll”和“nbtscan.exe”两文件复制到本地电脑“C：＼WINDOWS＼system32”下，进入cmd命令提示符界面，在提示符后输入“nbtscan-r10.95.86.0/24”并回车（图3），搜索“10.95.86.1-10.95.86.254”整个网段，输出的第一列是IP地址，最后一列是MAC地址，这样即可找到病毒主机的IP地址。或者进入命令提示符界面，在提示符后输入路由跟踪命令“tracert–dwww.baidu.com”并回车，正常情况下输出的第一条就是默认网关地址。如果第一条并非网关IP地址，那它的主机就是ARP病毒的主机。

三、彻底查杀ARP病毒

彻底查杀ARP病毒，需要定位到攻击源地址，利用ARP专杀工具进行杀毒。找到ARP攻击的源头后，在源头的计算机上安装ARP专杀工具进行查杀操作，对病毒库进行更新后即可进行查杀。如果杀毒软件查杀不干净的话，可以用下面的方法来彻底杀除ARP病毒。首先，进入“%windows%＼System32”文件夹，删除“LOADHW.EXE”病毒组件释放者文件，再删除“driversnpf.sysARP”欺骗包的驱动程序。接着，右击桌面“计算机”，选择“设备管理器”菜单，进入“设备管理器”窗口。依次单击“查看→显示隐藏的设备”菜单，在设备树展开“非即插即用”列表项（图4），找到“NetGroupPacketFilterDriver”“NetGroupPacketFilter”后并右击，在弹出菜单中选择“卸载”，确认后进行卸载操作，重启Windows系统。然后，进入“%windows%＼System32＼drivers”文件夹，删除“npf.sys”。再次进入“%windows%＼System32”文件夹，删除“msitinit.dll”文件。最后，依次单击桌面“开始→运行”菜单，打开“运行”对话框，在“打开”后输入“regedit”命令并回车，进入“注册表编辑器”，找到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”注册表项，删除“Npf”子项后，重启Windows系统即可。

四、防范ARP病毒攻击

一是使用杀毒软件实现ARP防护。打开最新版本的“360安全卫士”，单击主界面右下角的“更多”，进入“功能大全”界面。点击左侧的“网络优化”，在工具列表找到“流量防火墙”并单击，在弹出的新窗口，单击上面的“局域网防护”后，再单击下面“立即开启”进行设置。安装完成后进入“360流量防火墙”（图5）。左侧的四个防护选项默认是开启的，重启电脑即可。二是绑定IP和MAC地址防护ARP病毒。首先，用“ipconfig/all”命令查出本地计算机的IP地址和MAC地址。接着，实现网关（即路由器）的IP和MAC地址绑定。打开“运行”对话框后，在“打开”后输入“CMD”命令并回车，在提示符后输入“ARP-s10.95.86.214c-34e0-aa-95-66”（本地计算机的MAC地址）即可实现绑定。也可以在命令提示符下输入命令“netsh interface ipv4 show interface”并回车，查看本地计算机中所有网卡的“Idx”代码（图6），从中选择要绑定的Idx（本地连接），本地连接的“Idx”是20。然后，在命令提示符下输入命令“netsh interface ipv4 set neighbors 20 10.95.86.21 4c-34e0-aa-95-66”，回车后实现静态绑定。由于手动操作实现的静态绑定，会在重启电脑后恢复为动态绑定，所以需要建立一个批处理文件，把以下命令放在批处理文件里（图7），然后，把该批处理文件拖放至“开始→所有程序→启动”菜单下，系统在启动时会自动执行该批处理文件。

总之，如果局域网出现ARP病毒，需要检查局域网中每一台计算机，判断出ARP发包源，再使用杀毒软件进行查杀。