故障现象

ARP欺骗木马发作时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复上网。掉线时内网是互通的，计算机却不能上网。

ARP攻击时的主要现象

1、网上银行、游戏及QQ账号的频繁丢失

一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用 户账号的详细信息并盗取。

2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常

当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包， 阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。

3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常

当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。

故障原因

主要原因是在局域网中有人中了ARP病毒，或者使用了ARP欺骗的木马程序,比如一些盗号的软件。

解决方案

在主机上安装上ARP防火墙，绑定网关地址。市面上有众多的ARP防火墙，推荐使用360。

命令方法是：在能上网时，进入MS-DOS窗口，输入命令：arp -a查看网关IP对应的正确MAC地址，将其记录，如果已不能上网，则先运行一次命令arp -d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，禁用网卡或拔掉网线，再运行arp -a。

如已有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令：arp -s 网关IP 网关MAC。如被攻击，用该命令查看，会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录，以备查找。找出病毒计算机：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址。
安全建议

1、给系统安装补丁程序。通过WindowsUpdate安装好系统补丁程序(关键更新、安全更新和ServicePack)

2、给系统管理员帐户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合；也可以禁用/删除一些不使用的帐户。

3、经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。

4、关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C盘、D盘等管理共享。完全单机的用户也可直接关闭Server服务。

5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。

6、安装arp防火墙，启用防止arp攻击功能，完成MAC地址和网关IP地址的静态绑定。

参考：http://baike.baidu.com/view/726493.htm