防范arp病毒公告

近期发现局域网内一些正在上网的电脑主机出现频繁掉线或断线故障，经查实该故障为ARP病毒所致。

一、故障诊断

如果用户出现繁掉线故障，可以通过如下操作进行诊断：

点击“开始”按钮->选择“运行”->输入“cmd”->点击“确定”，在dos界面下输入“arp -a”，查看网关(通常为10.2.*.254)对应的physical address，正确地址是“00-0f-e2-3f-32-40”，若为其他物理地址，则为受到arp攻击。

二、解决办法

1、在dos界面下输入“arp -d”，清除本机的arp表，arp表被清除后系统会自动重建新的arp表，获取到正确网关后重新尝试上网，“arp -d”命令并不能抵御ARP欺骗。

2、开机自动绑定网关

新建记事本文件，内容如下：

arp -d

arp -s 10.2.*.254 00-0f-e2-3f-32-40

保存成.bat类型文件，放置快捷方式到启动中。（说明：10.2.*.254为各楼网关，详细见附件）

3、及时下载安装系统补丁，安装杀毒及防火墙软件抵御ARP攻击。

三、特别说明

如果用户发现受到arp攻击，请保存截图或防火墙日志文件作为附件，所处校区楼号作为标题，邮件正文采用如下形式：攻击者ip 攻击者mac 攻击次数 如（10.1.20.39 00-03-0D-2F-D9-A8 5000）发送到网络中心信箱wlzx@qust.edu.cn，一经查实，将予以端口封闭处理，端口封闭记录发布在网络中心主页(http://nic.qust.edu.cn)“端口封闭列表”中。

宿舍区网关地址.doc