在局域網環境中，ARP（地址解析協議）病毒是一種常見且危害性大的網絡威脅。它通過偽造IP地址與MAC地址的對應關系，實施中間人攻擊，導致網絡癱瘓、數據竊取等問題。本文將系統性地介紹如何查殺已存在的ARP病毒，并提供一套結合軟件與硬件設備的綜合預防策略。

第一部分：如何查殺局域網ARP病毒

當網絡出現時斷時續、頻繁掉線，或特定網站無法訪問（如安全軟件官網）時，可能已感染ARP病毒。以下是查殺步驟：

1. 定位感染主機
- 使用ARP命令：在命令提示符（cmd）中輸入 arp -a，查看網關的MAC地址。若與網絡管理員記錄的合法網關MAC不一致，則存在ARP欺騙。

• 利用抓包工具：使用Wireshark等軟件捕獲網絡數據包，分析是否存在大量異常的ARP請求或回復包，鎖定發送異常數據包的IP地址。

• 借助安全軟件：安裝360安全衛士、金山貝殼ARP防火墻等工具，其“局域網防護”功能通常能直接顯示攻擊源IP和MAC地址。

2. 隔離與清除病毒
- 立即隔離主機：物理斷開疑似中毒電腦的網絡連接，防止病毒擴散。

• 全面查殺病毒：在被隔離的主機上，運行最新病毒庫的殺毒軟件（如卡巴斯基、諾頓）進行全盤掃描。使用專殺工具（如“360 ARP病毒專殺工具”）針對性地清除ARP病毒。

• 清除ARP緩存：在命令提示符中執行 arp -d * 命令，清除本機被污染的ARP緩存表。

3. 恢復網絡配置
- 綁定網關MAC：在確認網關MAC正確后，在各主機上執行靜態ARP綁定命令，例如：arp -s 網關IP地址 正確網關MAC地址。

• 重啟網絡設備：重啟交換機和路由器，清除可能被污染的設備ARP緩存。

第二部分：如何預防局域網ARP病毒

預防勝于治療，構建多層防御體系是關鍵。

一、軟件層面預防措施

1. 安裝部署ARP防火墻

• 個人終端防護：為每臺電腦安裝并啟用ARP防火墻軟件。這類軟件能主動防御ARP欺騙，實時監控并攔截異常ARP數據包。推薦軟件包括：

• 360局域網防護：集成在360安全衛士中，功能全面，適合普通用戶。

• 彩影ARP防火墻：專業級單機防御軟件，攔截能力較強。

• 金山貝殼ARP防火墻：輕量級，資源占用少。

• 服務器端防護：在局域網內的關鍵服務器上部署更專業的企業級安全軟件或啟用操作系統自帶的防火墻高級策略。

1. 實施靜態ARP綁定

• 在客戶端綁定網關：如上文所述，將正確的網關IP和MAC地址在每臺電腦上設置為靜態條目，防止被篡改。可將綁定命令制成批處理文件，加入開機啟動項。

• 在網關綁定客戶端：在路由器或三層交換機上，將重要客戶端的IP和MAC地址進行靜態綁定。這是雙向綁定的關鍵一環。

1. 加強終端安全管理

• 及時更新系統與軟件補丁，減少安全漏洞。

• 規范上網行為，不訪問可疑網站，不下載未知來源文件。

• 統一部署網絡版殺毒軟件，保持病毒庫實時更新。

二、硬件與網絡架構層面預防措施

1. 使用可網管交換機

• 啟用端口安全功能：在交換機上配置“端口-MAC”綁定，限制每個交換機端口只允許特定的MAC地址接入，從根本上防止ARP欺騙。

• 劃分VLAN（虛擬局域網）：根據部門或功能將網絡劃分為多個VLAN，隔離廣播域，能有效限制ARP攻擊的傳播范圍。

1. 部署專業的網絡安全設備

• ARP防護網關/路由器：一些企業級路由器內置了ARP攻擊防御功能，能主動識別并丟棄欺騙包。

• 入侵檢測/防御系統（IDS/IPS）：在網絡邊界部署IDS/IPS設備，可以精準識別ARP攻擊等網絡層攻擊行為并實時阻斷。

1. 采用動態ARP檢測（DAI）技術

• 這是最有效的預防手段之一，但需要網絡設備支持（如思科等品牌的中高端交換機）。DAI會校驗ARP數據包的合法性，只轉發可信的ARP響應，完全杜絕局域網內的ARP欺騙。

###

應對ARP病毒，需要“查、防、管”結合。日常應以預防為主，通過部署ARP防火墻軟件、實施全網靜態ARP雙向綁定、并利用可網管交換機的安全功能，構建堅固的防御體系。一旦發生攻擊，需迅速利用工具定位源頭、隔離清除，并加固網絡配置。對于大型或安全性要求高的網絡，投資部署支持DAI等高級功能的硬件設備，是保障網絡長治久安的根本之道。