一、ARP病毒出现时的特征
要分析并解决ARP病毒，就必须了解ARP病毒出现时的特征。ARP病毒出现时，我们的网络系统可能出现以下特征：
1．电脑虽然物理上连接到网络上，同时正确地配置了本网络的IP地址，但是并不能“ping”通直接相连的交换机；
2．察看ARP地址列表，内容为空或者是所有的地址都是“00-00-00-00-00-00”；
3．无法连接任何终端或服务器；
4．此时察看与之相连的交换机，发现ARP地址列表中和该IP对应的ARP地址均不是该台电脑的网卡物理地址。
  
二、为什么会出现ARP病毒？
在局域网中，终端通过ARP协议来完成数据的传输，传输的内容为帧。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞或者实现中间人攻击，进行ARP重定向和嗅探攻击。
在网络中每个终端都有属于自己的物理地址（MAC）。
  当网络层的IP报文在向数据链路层传递数据时，会将IP报文打开，转换为ISO模型中的第二层协议ARP所构成的帧，此时的帧根据帧中所纪录的目标地址进行数据传输。
为什么要将IP转化成MAC呢？这是因为在TCP网络环境下，一个IP包走到哪里、要怎么走是靠路由表定义。
  但是，当IP包到达该网络后，哪台机器响应这个IP包却是靠该IP包中所包含的MAC地址来识别。也就是说，只有机器的MAC地址和该IP包中的MAC地址相同才会应答这个IP包。在每台终端的内存中，都有一个“ARP——> MAC”的转换表。通常是动态的转换表（注意在路由中，该ARP表可以被设置成静态）。
  也就是说，该对应表会被终端在需要的时候刷新。这是由以太网在子网层上的传输是靠48位的MAC地址所决定的。
一般情况下，终端在发送一个IP包之前，它要到该转换表中寻找和IP包对应的MAC地址。如果没有找到，该终端就发送一个ARP广播包，看起来像这样子：“我们是终端 ,MAC是xxxxxxxxxxx,IP为 。
  xx1的终端请告之你的MAC。”IP为 。xx1的终端响应这个广播，应答ARP广播为：“我们是 。xx1,我们的MAC为xxxxxxxxxx2。”于是，终端刷新自己的ARP缓存，然后发出该IP包。
那么，ARP欺骗是如何产生的呢？举个例子来说明问题，一个入侵者想非法进入某台终端，他知道这台终端的防火墙只对 这个IP开放23口，而他必须要使用telnet来进入这台终端，所以要使用以下步骤来进入：
1．先研究 这台终端，发现对这台机器使用一个oob（传输层协议使用带外数据）就可以使其瘫痪；
2．于是，他送一个洪水包给 的139口，结果该机器应包瘫痪；
3．终端发到 的IP包将无法被机器应答，系统开始更新自己的ARP对应表，将 的项目擦去；
4．这段时间里，入侵者把自己的IP改成 ；
5．他发一个ping(icmp 0)给终端，要求终端更新终端的ARP转换表；
6．终端找到该IP，然后在ARP表中加入新的“IP——>MAC”的对应关系；
7．防火墙失效了，入侵的IP变成合法的MAC地址。
  
现在，假如该终端不只提供telnet，它还提供r命令（rsh,rcopy,rlogin等）那么，所有的安全约定将无效，入侵者可以放心地使用这台终端的资源而不用担心被记录什么。这就是冒用IP，但并不是IP欺骗，IP欺骗的原理比这要复杂得多，实现的机理也完全不一样。
  
上面就是一个ARP的欺骗过程，这是在一个网段发生的情况。需要注意的是，利用交换集线器或网桥是无法阻止ARP欺骗的，只有采用路由分段才是有效的阻止手段，也就是IP包必须经过路由转发。在有路由转发的情况下，ARP欺骗如配合ICMP欺骗将对网络造成极大的危害。
  
事实上，ARP病毒正是使用了ARP欺骗的原理，使用木马的方式完成各种终端、交换机的攻击。当局域网内某台终端运行ARP欺骗的木马程序时，会欺骗局域网内所有终端和核心交换机，让所有上网的流量必须经过病毒终端。其他用户原来直接通过核心交换机上网，现在转由通过病毒终端上网，切换的时候用户会断一次线。
  由于ARP欺骗的木马程序发作的时候会发出大量的数据包，导致局域网通信拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从核心交换机上网，切换过程中用户会再断一次线。
这时，在核心交换机的“系统历史记录”中可看到大量如下的信息：
Internet Address       Physical Address         Type
              00-05-dc-e3-57-bc       dynamic
              00-05-dc-e3-57-bc       dynamic
              00-02-55-73-6b-ad      dynamic
              00-02-55-73-6b-ad      dynamic
这个消息代表了在核心交换机端每个用户所对应的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有中了ARP病毒的终端的MAC地址更新为病毒终端的MAC地址，此时在核心交换机的“ARP dynamic list”中看到许多用户的MAC地址信息都一样。
  如果是在核心交换机的“ARP dynamic list”中看到大量MAC地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，终端在核心交换机上恢复其真实的MAC地址）。
三、预防ARP病毒的方法
1。定位ARP攻击源头
主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机  
器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。
  定位好机器后，再做病毒信息收集，提交给网络安全公司做分析处理。
被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。也可以直接Ping网关IP，完成Ping后，用“ARP –a”命令查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC。
  
2。应用NBTSCAN
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有“ARP攻击”在作怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
范例：
假设查找一台MAC地址为“0001122d585f”的病毒主机。
  
首先，将压缩包中的nbtscan。exe 和cygwin1。dll解压缩放到c:下。
其次，在Windows DOS窗口中输入：C: nbtscan -r  
最后，通过查询IP--MAC对应表，查出“0001122d585f”的病毒主机的IP地址为“ ”。
  
通过上述方法，就能够快速找到病毒源，确认其MAC机器名和IP地址。
3。防御方法
(1)使用可防御ARP攻击的核心交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。
  
(2)对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。
(3)在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2。0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而进行ARP病毒的防御。
  
。