【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过网关上网现在转由通过病毒主机上网。 
【快速查找】在正常上网时记下网关的MAC地址，在遇到ARP欺骗不能正常上网时察看系统的网关MAC地址，如果不一致，就说明局域网某台机器中了ARP欺骗木马了。将此时错误的网关MAC地址报告给网络中心，来找到中ARP木马病毒机器。

　　首先，通过ipconfig命令看到自己所在网段的网关IP地址，本例中为：59.78.40.1；
然后，通过arp -a命令查看网关对应的MAC地址，本例中为：00-d0-f8-fe-ab-77     
正常时和遇到ARP欺骗时这个MAC地址是不一样的。

C:\>ipconfig

Windows IP Configuration


Ethernet adapter 本地连接:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 59.78.40.66
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 59.78.40.1

C:\>arp -a

Interface: 59.78.40.61 --- 0x10003
  Internet Address      Physical Address      Type
  59.78.40.1          00-d0-f8-fe-ab-77     dynamic

【解决办法】 采用绑定的方法解决并且防止ARP欺骗。 

　　1、在PC上绑定网关的IP和MAC地址： 

　　1）首先，获得网关的MAC地址（本例中为：00-d0-f8-fe-ab-77）。 

　　2）编写一个批处理文件rarp.bat内容如下： 

　　@echo off 

　　arp -d 

　　arp -s 59.78.40.1 00-d0-f8-fe-ab-77

　　将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。 

　　将这个批处理软件拖到windows“开始-程序-启动”中，这样每次开机系统自动把正确的网关MAC地址记录在内存中。