为什么我一开电脑任务管理器里就要有好多的arp.exe而且一直出来，最后进程都六七十个了，cpu100%

检查本机的“ ARP 欺骗”木马染毒进程：

http://www.hzjy.edu.cn/publish/con_img/1147857093890.gif

同时按住键盘上的“ CTRL ”和“ ALT ”和“ DEL ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。参见上图。

在受到ARP欺骗木马程序（病毒）攻击时，用户可选择下列方法的一种处理。

方法一：下载Anti ARP Sniffer软件（附件一）保护本地计算机正常运行，安装配置前，请先查看附件二的帮助视频（下载地址：http://www.hzjy.edu.cn/publish/con_img/1147851866140.EXE）。同时把此软件设为自动启动，步骤：先把Antiarp.exe生成桌面快捷方式à选"开始"à"程序"à双击"启动"à再把桌面上Antiarp.exe快捷键拷到"启动"中，以保证下次开机自动运行，起到保护的作用。

方法二：在“开始”à“程序” à“附件”菜单下调出“命令提示符”。输入并执行以下命令：ipconfig

记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 192.168.112.1”。再输入并执行以下命令：

arp –a

在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。 本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：

arp –s 网关 IP 网关物理地址 (如 arp -s 192.168.112.1 00-01-e8-1f-35-54 ) 。

方法三：局域网ARP攻击免疫器（附件三）。（1）将这里面3个dll文件复制到windows\system32 里面，将npf 这个文件复制到 windows\system32\drivers 里面。（2）将这4个文件在安全属性里改成只读。也就是不允许任何人修改。

ARP包可以用MS的PlatFormSDK中的IP Helper中的

DWORD SendARP(IPAddr DestIP,IPAddr SrcIP,PULONG pMacAddr,PULONG phyAddrLen)

来发送，在C＋＋中容易实现，在C＃中没有试过，你可以试一下，

ms-help://MS.MSDNQTR.2003FEB.2052/iphlp/iphlp/sendarp.htm

MSDN这个链接里有一个VC的例子，

我不知道我的这个声明对不对，

[DllImport("Iphlpapi.dll",CharSet=CharSet.Auto)]

public extern static System.UInt32 SendARP( System.UInt32 DestIP,

System.UInt32 SrcIP,

out System.Int32 pMacAddr,

out System.Int32 PhyAddrLen)

工作过程：首先根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。

如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。

主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。主机B将包含其MAC地址的ARP回复消息直接发送回主机A。

当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。

扩展资料：

应用：

1、ARP命令

ARP缓存中包含一个或多个表，它们用于存储IP地址及其经过解析的MAC地址。ARP命令用于查询本机ARP缓存中IP地址-->MAC地址的对应关系、添加或删除静态对应关系等。如果在没有参数的情况下使用，ARP命令将显示帮助信息。

2、ARP欺骗

地址解析协议是建立在网络中各个主机互相信任的基础上的，它的诞生使得网络能够更加高效的运行，但其本身也存在缺陷：ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的。

只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。

ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。

ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。

参考资料来源：百度百科--ARP

---