一、故障现象及原因分析
   情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成局域网内其他主机（受害者）无法正常上网。

   情况二、局域网内有某些用户使用了ARP欺骗程序（例如：传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。
                        
二、故障诊断
1、如果用户发现以上疑似情况不能上网，则可以用鼠标先点击Windows98/2000/xp/2003系统桌面右下脚“开始”－》选择“运行”－》输入“arp –d”－》点击“确定”按钮，然后重新尝试上网，如果计算机能恢复正常，则说明了此次掉线可能是受ARP欺骗所致。

2、同时按住键盘上的“ ctrl ”和“ alt ”键再按“ del ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ vktserv.exe ”的进程。如果有，则说明已经中毒。
 
三、故障处理
1、中毒者：

  请拔掉网线--格式化重装系统--安装补丁程序--安装防火墙杀毒软件,确保你的电脑为安全可信的。
（1）在进程中如果有“vktserv”进程，右键点击此进程后选择“结束进程”，然后在c:\windows\system32路径找到vktserv.exe文件删除，在“控制面板”-“管理工具”-“服务”中，找到vktserv服务禁用，重启机器。

（2）右键点击桌面上 “我的电脑”，在弹出的对话框中点击“属性”。－》在“系统属性”对话框中选择“硬件”，－》在“硬件”对话框中选择“设备管理器”。－》在“设备管理器”对话框中选择“查看”，－》在下拉菜单中选择“显示隐藏的设备”。－》在出现的隐藏设备列表中如果存在“Netgroup Packit Filter”项目则说明你的机器已经感染了“ARP欺骗”病毒。此时，你应该首先断开网络连接（停用网卡或拔掉网线），接下来右键点击这个项目选择停用，再重新启动计算机后病毒将得到控制。
（3）建议使用诺顿、卡巴斯基、瑞星等杀毒软件或其他ARP专杀工具清除此类病毒。（专杀工具arpkill.rar，下载后解压缩，运行TSC.exe文件，不要关让它一直运行完毕。然后可查看report目录内的log文档了解病毒清除情况。）

2、被害者：
（1）如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，
注：arp -d命令用于清除并重建本机arp表。arp –d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。
（2）如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。

（3）使用ARP防火墙软件http://nc.znufe.edu.cn/cjxz/200706/t20070612_13977.htm抵御ARP攻击。（下载后解压缩，运行。输入本网段的网关ip地址后，点击“获取网关MAC地址”，检查网关IP地址和MAC地址无误后，点击“自动保护”。若不知道网关IP地址，可通过以下操作获取：点击"开始"按钮—>选择“运行”—>输入cmd点击“确定”—>输入ipconfig按回车，“本地连接”中“Default Gateway”后的IP地址就是网关IP地址。软件会在提示框内出现病毒主机的MAC地址。

 （4）右键点击桌面上 “我的电脑”，在弹出的对话框中点击“属性”。
　　在“系统属性”对话框中选择“硬件”，在“硬件”对话框中选择“设备管理器”。如下图：

在“设备管理器”对话框中选择“查看”，在下拉菜单中选择“显示隐藏的设备”。如下图：

在出现的隐藏设备列表中如果存在“Netgroup Packit Filter”项目则说明你的机器已经感染了“ARP欺骗”病毒。如下图：

此时，你应该首先断开网络连接（停用网卡或拔掉网线），接下来右键点击这个项目选择停用，再重新启动计算机后病毒将得到控制。

3、正常上网的用户，运行ARP病毒免疫补丁、ARP火墙单机版,目前尚未有方法可以使电脑免疫所有arp病毒，建议用户安装防病毒软件并更新到最新版本，可有效降低中毒的机率。

注：目前的计算机防病毒软件只能避免自己电脑主机感染ARP病毒，但无法抵御同网段中其它已感染ARP病毒的计算机的攻击。

相关软件链接:  http://nc.znufe.edu.cn/cjxz/200706/t20070612_13977.htm

校园网络安全知识答卷: http://nc.znufe.edu.cn/cjxz/200701/t20070106_12019.htm