我的电脑不停发送arp请求

今天竟然发现自己的电脑不停发送arp请求，同时扫描同网段IP的137和138端口，奈何？防火墙日志如下：（说明：如果将这些日志复制到记事本，不换行，您可能会看得更清楚）
010/11/10 15:37:01.806 [BDFW] [FILTER] Blocked packet because of rule 35. Direction: Inbound, Local Address: 192.168.10.17-138, Remote Address: 192.168.10.151-138, Protocol: 17, Local Packet: 1, PID: 00000004, Process: System, Cmd. Line: .
2010/11/10 15:37:06.761 [BDFW] [FILTER] Blocked packet because of rule 25. Direction: Outbound, Local Address: FE80:0000:0000:0000:8820:877C:1258:35AC-546, Remote Address: FF02:0000:0000:0000:0000:0000:0001:0002-547, Protocol: 17, Local Packet: 0, PID: 0000044C, Process: c:\windows\system32\svchost.exe, Cmd. Line: -k localservicenetworkrestricted.
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0x950AA8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0x7C0AA8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0x7F0AA8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0x980AA8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0x9B0AA8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0xA10AA8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0x7D01A8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0x880AA8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0xA40AA8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0x8B0AA8C0
2010/11/10 15:37:12.341 [BDFNDISF][ARP] sending arp request: smac=18:A9:05:D6:D6:25, sip=0x110AA8C0, dip=0xA70AA8C0

arp病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址（又称MAC地址）。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。

故障现象
当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网切换到病毒主机上网后，那么病毒主机就会经常伪造断线的假像。由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。

该机一开机上网就不断发Arp欺骗报文，即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文，甚至假冒该子网网关物理地址蒙骗其它机器，使网内其它机器改经该病毒主机上网，这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线，则其它机器又要重新搜索真网关，于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器，就会使其他人上网断断续续，严重时将使整个网络瘫痪。这种病毒（木马）除了影响他人上网外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码（如QQ和网络游戏等的帐号和密码）为目的，而且它发的是Arp报文，具有一定的隐秘性，如果占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。这种病毒开学初主要发生在学生宿舍，据最近调查，现在已经在向办公区域和教工住宅区域蔓延，而且呈越演越烈之势现在转由通过病毒主机上网，切换的时候用户会断一次线。

解决方案
ARP病毒一般出现局域网，在路由上进行绑定MAC地址，现在好多路由器或上网行为管理软件都支持不定时自动广播网关的，可以达到预防ARP病毒的情形。最好的办法就是在路由和本机都进行整个网络的IP与MAC地址的全部绑定，也就是把ARP的映射又动态变为静态的，这样就算有病毒，也影响不了其它电脑。

还就是最好有整个网络的IP MAC对应表，然后在安装有ARP防火墙的电脑上查看病毒电脑的IP，IP可能自动变，因为有时候不一定只是一台中毒。主要查看MAC的地址，然后在表格里查看对应的是那台主机，拔掉网线，查杀病毒。现在一般查杀木马恶意软件的工具，都可以查杀。

如果交换机支持VLAN 的话，就比较好了，因为ARP病毒是通过广播来传播的，划分了VALN就达到了隔离的目的。在较小的范围里进行查杀。

主要就是要定时检查那台电脑没有安装杀毒软件，感染病毒的机率很大。公司查到的几台电脑全是没有安装杀毒软件。。。。

祝你好运。。。。

参考资料：http://flyk.org/index.php/archives/318

温馨提示：内容为网友见解，仅供参考

当前网址：https://11.t2y.org/zz/fmvvmm748.html