当网络受到ARP攻击，局域网常出现的现象：突发性瞬间断线，快速连上，期间上网速度越来越慢，一段时间又瞬间断线。

        ARP攻击内网诊断：

            1、断线时（ARP攻击木马程序运行时）在内网的PC上执行ARP –a命令，看见网关地址的mac地址信息不是路由器的真实mac地址；

            2、如果局域网内有安装sniffer软件的计算机的话，可以看到ARP攻击木马程序运行时发出海量的ARP查询信息。

            内部局域网被攻击原因：

            ARP攻击木马程序（传奇盗号木马）运行时，将自己伪装成路由器，所有内网用户上网从由路由器上网转为从中毒电脑上网，切换过程中用户会断一次线。过程用户感觉上网非常慢。当ARP攻击木马程序停止运行时，所有内网用户上网又从由中毒电脑上网转为从路由器上网，切换过程中用户会再断一次线。

        在HiPER上的快速诊断：

            1、系统状态—系统信息—系统历史纪录内，可以看见大量的mac地址变化信息，且mac地址都变化成进行

            ARP攻击那台电脑的mac地址，或者由同一mac地址变回原来的真实mac地址。

            MAC Chged 10.128.103.124     */该IP地址的MAC地址发生变化

            MAC Old 00:01:6c:36:d1:7f    */变化前的MAC地址

            MAC New 00:05:5d:60:c7:18    */变化后的MAC地址

            2、断线时（ARP攻击木马程序运行时），在系统状态—用户统计中，观察到的所有用户的mac地址一致。

    内网ARP攻击解决办法：

            1、将感染病毒的PC从内网断开，查杀病毒。

            2、在PC和路由器上双向绑定对方的IP和MAC地址。

            OK如此一来就可以很快的知道内部哪台计算机中了病毒
 

===============================================================================
北京北大青鸟马甸校区网络培训基地