今天开机，上网后一会就发现速度变慢，看本地连接，数据包时断时续。奇怪了，昨天下午走得时候好好的啊，然后运行360安全卫士，没有发现问题，赛门铁克查杀，没有发现病毒（不过我没有全部查，那样太费时间，只是把系统文件夹windows，programes，还有平时装软件，下东西的盘扫描了）。[?L&E
然后上百度搜索“数据包时断时续”，发现好多校园网（为什么都是校园网呢？。。。）都说可能是arp病毒发作导致。s,
于是，我就下载了一个 anti arp sniffer,运行后上网正常了，高兴，于是把心得写出来跟大家分享，病毒木马防不胜防，就像arp病毒，它感染一个用户就会影响局域网内一个号段的用户正常上网，偏偏一般的办法还解决不了（Symantec 12.2号的，不管用，唉）]O
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　gMS*
下面是我在网上找到的： ARP是什么病毒？怎么查杀？ 详细解释$;
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　Pf
先来了解一下ARP协议,有助知道什么是ARP病毒 }%G
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　*
　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。  ZD4
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　c9F[P
　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。  } Be
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　T=|A!
　　每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。　　  D<
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　h{/X
　　主机 IP地址 MAC地址  ODS
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　$MG
　　A 192.168.16.1 aa-aa-aa-aa-aa-aa  uj
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　%
　　B 192.168.16.2 bb-bb-bb-bb-bb-bb  ch1
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　\X.
　　C 192.168.16.3 cc-cc-cc-cc-cc-cc  =
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　d ~
　　D 192.168.16.4 dd-dd-dd-dd-dd-dd　　  G{-
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　 "yF
　　我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问： “192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应： “192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。  {Hj
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　DJ:J,C
　　从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。  *Zcj
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　PECW
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　4CQ,w#
出自重庆一中的解决方法： /H:z6
------------------------------------------------------------------ Zz6 ]o
一、故障现象及原因分析 xr<>
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　lerv5
情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：172.16.24.0这一段）所有主机发送ARP欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病毒主机上网。 G=
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　W7G_
由于病毒发作时发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。此时病毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网络时断时续。 {t7
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　#
情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。 pqTP<
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　Q
 7$
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　1*Rq''
二、故障诊断 |C!B
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　,J3l"
如果用户发现以上疑似情况，可以通过如下操作进行诊断： .ZUKc
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　w
点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。 0Sh
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　\
注："arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。 wR{L/
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　;
 ,L:k
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　fb#M
三、故障处理 \
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　#jfLM
1、中毒者：使用趋势科技ARP病毒专杀工具查杀病毒 |K/
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　97
ftp://nic.ccsu.cn/TSC.rar,下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看report文档便知是否中毒。 v
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　dTi
2、被害者：使用AntiArp软件抵御ARP攻击。 lX5
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　Xx
ftp://nic.ccsu.cn/Antiarp.rar。下载后解压缩，运行AntiArp。输入本网段的网关ip地址后，点击"获取网关MAC地址"，检查网关IP地址和MAC地址无误后，点击"自动保护"。 :|r+
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　c-cf
若不知道网关IP地址，可通过以下操作获取：点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按回车，"Default Gateway"后的IP地址就是网关地址。 ''0XZ''Z
©宇风多媒体论坛 -- yfdmt.com 多媒体行业门户：yfdmt.cn CG动漫 yfdmt.net 影视广告网　　-
AntiArp软件会在提示框内出现病毒主机的MAC地址。 /)i:b
ftp://nic.ccsu.cn/Antiarp.rarftp://nic.ccsu.cn/Antiarp.rar27y*
就是这个地址，用迅雷就可以下载。 -东文网络专业建站，您信赖的网络专家-

不知该信息是否给您解决了问题，还有疑问请到留言建议向我们咨询 :)