关于进一步加强ARP病毒防范的通知

近期， “ ARP 欺骗”木马病毒在校园网中又呈扩散趋势，严重影响了校园网的正常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

ARP欺骗木马十分猖狂，危害也特别大。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

一、ARP病毒症状

ARP欺骗木马影响严重，只需成功感染一台计算机，就可能导致整个局域网无法上网，严重的甚至导致整个网络瘫痪。

该病毒主要通过ARP（地址解析协议）欺骗实施攻击和破坏行为，中毒现象表现为以下几点：

1． 使用校园网时会突然掉线，过一段时间后又恢复正常。

2． 用户频繁断网，IE浏览器频繁出错。

3． 一些常用软件出现故障。

4． 使用身份认证上网的用户，出现能够通过认证，但是无法上网的情况。

二、ARP病毒介绍

ARP地址欺骗类病毒（简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。

1.什么是ARP?

ARP是“Address Resolution Protocol”（地址解析协议）的缩写。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

2.什么是ARP欺骗?

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

三、ARP病毒的检查与处理

(一)故障诊断

如果用户出现繁掉线故障，可以通过如下操作进行诊断：

点击“开始”按钮->选择“运行”->输入“cmd”->点击“确定”，在dos界面下输入“arp -a”，查看本机的arp表，正常的网关与物理地址的对应表细见附件点击下载，若为其他物理地址，则为受到arp攻击。

(二)解决办法

1、在dos界面下输入“arp -d”，清除本机的arp表，arp表被清除后系统会自动重建新的arp表，获取到正确网关后重新尝试上网，“arp -d”命令并不能抵御ARP欺骗。

2、开机自动绑定网关

新建记事本文件，内容如下（以四方3号学生宿舍为例，其他宿舍请查看附件将网关及物理地址做相应修改）：

arp -d

arp -s 10.2.1.254 00-0f-e2-3f-32-40

保存成.bat类型文件，将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。

3.使用安全工具软件

下载Anti ARP Sniffer软件以保护本地计算机正常运行。具体使用方法可以在网上搜索。

四、安全建议

1. 及时安装系统补丁程序。

2. 建议安装杀毒软件并及时更新病毒库。安装网络防火墙软件，以便有效地阻挡自来网络的攻击和病毒入侵；

3. 不要随便点击打开QQ 、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。

4. 关闭一些不需要的服务，尤其要关闭一些没有必要的共享，也包括 C$ 、 D$ 等管理共享。完全单机的用户也可直接关闭Server服务；

5. 请为系统管理员帐户设置足够复杂的密码，采用“字母 + 数字 + 符号”的组合；同时请禁用或删除一些不使用的帐户；

五、特别提醒：

如您的计算机中了病毒而未及时查杀而影响他人上网，网络中心将封闭您的上网端口。一旦您无法上网，请首先查看网络连接状态，如发现显示网线未插好，请到“网络服务”的“端口封闭列表”中查看是否有对应的mac地址(MAC地址获取办法)，以确认您所用的网络端口是否被查封。

如您的上网端口被封，请立即采取措施对本机进行杀毒或重装系统，做好安全防护。确认自己的计算机安全无毒后，请持《封闭端口开通申请》和学生证来网络中心办理端口复通。另外如果由于病毒没有彻底查杀而再次造成网络故障，网络中心将对此相应端口进行长期封闭（至少2个星期）！

附件：网关与物理地址对照表