4、调查结论：

通过以上查找分析，局域网内有计算机感染ARP 病毒，中毒的机器的网卡不断发送虚假的ARP数据包，告诉网内其他计算机网关的MAC地址是中毒机器的MAC地址，是其他计算机将本来发送网关的数据发送到中毒机器上，导致整个局域网都无法上网，严重乃至整个网络的瘫痪。我们知道局域网中的数据流向是:网关→本机; 如果网络有ARP 欺骗之后,数据的流向是:网关→攻击者→本机,因此攻击者能随意窃听网络数据,截获局域网中任一台机器收发的邮件,WEB浏览信息等，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

5、防范所采取措施

5、1 用户端防范措施：

安装arp防火墙或者开启局域网ARP防护，比如360安全卫士等arp病毒专杀工具，并且实时下载安装系统漏洞补丁，关闭不必要的服务等来减少病毒的攻击。

如果在没有防范软件安装的情况下，也可以通过编写简单的批处理程序来绑定网关来防止ARP欺骗，步骤如下：

(1)首先，获得安全网关的内网的MAC地址。以windows xp为例。点击“开始”→“运行”→输入cmd，点击“确定”后，将出现相关网络状态及连接信息，输入arp –a，可以查看网关的MAC地址

(2)编写批处理文件arp.bat内容如下：

@echo off

arp –d

arp –s 10.216.96.3(安全网关) 00-09-ac-82-0d (网关的MAC地址)注：arp -s 是用来手动绑定网络地址(IP)对应的物理地址(MAC)

(3) 编写完以后，点击“文件” →“另存为”。注意，文件名一定要是*.bat，点击保存就可以。

(4) 将这个批处理文件拖到“windows→开始→程序→启动”中，最后重起电脑即可。

5.2 网管员采取的防范措施

(1) 学会使用Sniffer抓包软件。

ARP病毒最典型的现象就是网络时通时断，用Sniffer抓包分析，会发现有很多的ARP包。

(2) 在全网部署安装ARP防火墙服务端及客户端软件

(3) 使用多层交换机或路由器：接入层采用基于IP地址交换进行路由的第三层交换机。由于第三层交换技术用的是IP路由交换协议，以往的链路层的MAC地址和ARP协议失效，因而ARP欺骗攻击在这种交换环境下起不了作用。

6、结束语

ARP欺骗在相当长的时间内还会继续存在，ARP欺骗也在不断的发展和变化中，希望广大网络管理员密切注意它，从而减少对我们网络的影响。

以上就是如何防范ARP攻击，谢谢查阅。