这不，笔者最近遭遇一次共享上网速度下降故障，“罪槐祸首”竟然是局域网中的ARP病毒;现在本文就将该故障现象以及排除过程总结出来，供各位朋友们参考!

　　故障：长时间打不开一个网页

　　办公室中有三台工作站，通过一个八口交换机与ADSL设备直接相连，从而实现共享ADSL上网的目的。平时，办公室中的每一台工作站上网都很正常;然而在最近一段时间，办公室中的小型局域网却遭遇到一则奇怪的现象，那就是每当笔者使用的工作站后启动的话，那么局域网中所有工作站的上网浏览速度明显变慢，IE浏览器长时间打不开一个网页;当将笔者使用的工作站系统关闭后，其他工作站的网络连接会自动断开，在重新修复本地网络连接后，这些工作站的上网速度又能恢复正常了，也就是说IE浏览器又能快速地打开相同的网页了。

　　在其他工作站正常上网的情况下，再次启动笔者的工作站时，整个局域网的上网速度又下降下来了;这种故障现象一直持续了很长时间，笔者尝试了多种办法都无功而返。

　　探究：工作站有ARP病毒?

　　从上面的故障描述来看，当笔者使用的工作站不启动时，那么局域网中的其他工作站就能正常上网，而一旦将笔者的工作站接入到局域网中，那么局域网的上网速度立即下降了下来，很明显该故障的症结应该在笔者使用的工作站上。

　　由于ADSL设备没有直接与笔者使用的工作站相连，按照道理笔者的工作站开关与否应该与其他工作站的上网速度无关才对;但实际上笔者的工作站系统关闭后，其他工作站竟然出现了明显的掉线故障，再次启动笔者的工作站系统时，其他工作站的上网速度立即又不正常了，依照这一现象笔者到网上进行了相关搜索，根据搜索结果笔者判断自己使用的工作站可能感染了ARP病毒。

　　分析：IP地址与MAC地址被搞乱了

　　为了进一步弄清故障原因，笔者又搜索了ARP病毒的相关资料，通过搜查笔者发现工作站一旦感染了ARP病毒，该病毒就会欺骗局域网中所有工作站以及网络设备，并强制其他工作站通过特定的病毒主机进行网络访问。之所以感染了ARP病毒后，工作站的上网速度会受到明显下降，是因为正常情况下工作站的网卡IP地址与MAC地址是一一对应的，当工作站的网卡设备从局域网的DHCP服务器中获得IP地址后，该地址就会被临时与网卡的MAC地址绑定在一起，同时会被记录保存在本地的ARP映射表中;同时，局域网中其他工作站的IP地址与MAC地址对应关系也会被保存在本地ARP映射表中，如此一来当本地主机向局域网中另外一台主机发送信息时，只要在本地的ARP映射表中找到对应另外一台主机的MAC地址，就能在直接发送的数据包中添加上目标主机的MAC地址信息，然后通过交换机或路由器设备将数据包信息发送到目标主机中。

　　每一台工作站为了获取准确的MAC地址信息，往往需要实时更新本地的ARP映射表;如此一来在笔者使用的工作站启动之后，ARP病毒就会自动把该工作站的MAC地址映射到局域网的路由器或交换机设备上，同时向网络中广播大量的ARP数据信息，通知局域网中的其他工作站及时更新各自ARP映射表中的记录内容。

　　而当其他工作站更新过ARP映射表之后，就会错误地认为笔者所用工作站就是局域网中的新网关，于是其他工作站就会把上网信息转发到笔者的工作站中，此时笔者工作站中的ARP病毒会智能窃取这些转发信息中的帐号、密码信息，然后再将其他工作站的上网请求信息发送给局域网中的路由器设备，那样一来局域网中其他工作站上网时就相当于将上网请求信息连续转发给两个网关一样，同时ARP病毒还会不停地向局域网通道中发送大量的ARP信息，以致于让其他工作站一直认为笔者的工作站就是网关，于是就构成了恶性循环，最终导致共享上网速度下降，严重的话能产生掉线现象。