在局域网环境中，ARP（地址解析协议）病毒是一种常见且危害性大的网络威胁。它通过伪造IP地址与MAC地址的对应关系，实施中间人攻击，导致网络瘫痪、数据窃取等问题。本文将系统性地介绍如何查杀已存在的ARP病毒，并提供一套结合软件与硬件设备的综合预防策略。

第一部分：如何查杀局域网ARP病毒

当网络出现时断时续、频繁掉线，或特定网站无法访问（如安全软件官网）时，可能已感染ARP病毒。以下是查杀步骤：

1. 定位感染主机
- 使用ARP命令：在命令提示符（cmd）中输入 arp -a，查看网关的MAC地址。若与网络管理员记录的合法网关MAC不一致，则存在ARP欺骗。

• 利用抓包工具：使用Wireshark等软件捕获网络数据包，分析是否存在大量异常的ARP请求或回复包，锁定发送异常数据包的IP地址。

• 借助安全软件：安装360安全卫士、金山贝壳ARP防火墙等工具，其“局域网防护”功能通常能直接显示攻击源IP和MAC地址。

2. 隔离与清除病毒
- 立即隔离主机：物理断开疑似中毒电脑的网络连接，防止病毒扩散。

• 全面查杀病毒：在被隔离的主机上，运行最新病毒库的杀毒软件（如卡巴斯基、诺顿）进行全盘扫描。使用专杀工具（如“360 ARP病毒专杀工具”）针对性地清除ARP病毒。

• 清除ARP缓存：在命令提示符中执行 arp -d * 命令，清除本机被污染的ARP缓存表。

3. 恢复网络配置
- 绑定网关MAC：在确认网关MAC正确后，在各主机上执行静态ARP绑定命令，例如：arp -s 网关IP地址 正确网关MAC地址。

• 重启网络设备：重启交换机和路由器，清除可能被污染的设备ARP缓存。

第二部分：如何预防局域网ARP病毒

预防胜于治疗，构建多层防御体系是关键。

一、软件层面预防措施

1. 安装部署ARP防火墙

• 个人终端防护：为每台电脑安装并启用ARP防火墙软件。这类软件能主动防御ARP欺骗，实时监控并拦截异常ARP数据包。推荐软件包括：

• 360局域网防护：集成在360安全卫士中，功能全面，适合普通用户。

• 彩影ARP防火墙：专业级单机防御软件，拦截能力较强。

• 金山贝壳ARP防火墙：轻量级，资源占用少。

• 服务器端防护：在局域网内的关键服务器上部署更专业的企业级安全软件或启用操作系统自带的防火墙高级策略。

1. 实施静态ARP绑定

• 在客户端绑定网关：如上文所述，将正确的网关IP和MAC地址在每台电脑上设置为静态条目，防止被篡改。可将绑定命令制成批处理文件，加入开机启动项。

• 在网关绑定客户端：在路由器或三层交换机上，将重要客户端的IP和MAC地址进行静态绑定。这是双向绑定的关键一环。

1. 加强终端安全管理

• 及时更新系统与软件补丁，减少安全漏洞。

• 规范上网行为，不访问可疑网站，不下载未知来源文件。

• 统一部署网络版杀毒软件，保持病毒库实时更新。

二、硬件与网络架构层面预防措施

1. 使用可网管交换机

• 启用端口安全功能：在交换机上配置“端口-MAC”绑定，限制每个交换机端口只允许特定的MAC地址接入，从根本上防止ARP欺骗。

• 划分VLAN（虚拟局域网）：根据部门或功能将网络划分为多个VLAN，隔离广播域，能有效限制ARP攻击的传播范围。

1. 部署专业的网络安全设备

• ARP防护网关/路由器：一些企业级路由器内置了ARP攻击防御功能，能主动识别并丢弃欺骗包。

• 入侵检测/防御系统（IDS/IPS）：在网络边界部署IDS/IPS设备，可以精准识别ARP攻击等网络层攻击行为并实时阻断。

1. 采用动态ARP检测（DAI）技术

• 这是最有效的预防手段之一，但需要网络设备支持（如思科等品牌的中高端交换机）。DAI会校验ARP数据包的合法性，只转发可信的ARP响应，完全杜绝局域网内的ARP欺骗。

###

应对ARP病毒，需要“查、防、管”结合。日常应以预防为主，通过部署ARP防火墙软件、实施全网静态ARP双向绑定、并利用可网管交换机的安全功能，构建坚固的防御体系。一旦发生攻击，需迅速利用工具定位源头、隔离清除，并加固网络配置。对于大型或安全性要求高的网络，投资部署支持DAI等高级功能的硬件设备，是保障网络长治久安的根本之道。