中arp病毒，江民找不出来，求助

解决方案有两种：
一是临时应急型，可暂时解决不能上网的问题，而不是彻底清除病毒：只需使用Windows系统自带的arp命令即可完成。方法如下：点击开始，运行，输入“arp -s 网关地址 网关MAC地址”，这样即可使网关地址与真正的网关MAC地址绑定，使得局域网内病毒主机无法再进行干扰！但问题是此方法在计算机重启后自动失效，想再次使用必须重复上述操作。
二是彻底清除型，此方法必须将网内受感染的病毒主机找出，若局域网只连几台电脑，则查找难度则很低，只要将病毒主机查出并杀毒即可解决问题。但局域网若是带了几十甚至几百台电脑主机时，查找的难度则会增加很多……

问题既然找出，下一步就要搜查病毒主机了。由于单位上网的小局域网内只连有五、六台左右的电脑，这使查找难度降低很多。但也并非一帆风顺，因为病毒主机伪装的MAC地址并没有使用它自己的网卡MAC地址，而是虚构了一个地址，这使我再次陷入迷茫！但后来在使用arp -a命令时发现总有一个IP地址会出现(此IP既不是我电脑的，也不是网关的)，我由此怀疑这个IP地址就是一切故障的始作蛹者，于是我坚决地在集线器上找到了这个IP对应的网线并将之拨掉，果然在没有这台病毒主机干扰后，网络终于恢复了正常。至此由该arp病毒引发的上网时断时续问题随着这台病毒主机被抓出而划上了完美的句号。

定位ARP攻击源头

主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。

标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。

被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。

也可以直接Ping网关IP，完成Ping后，