关于防范ARP病毒的公告

近期一些校园网用户出现正在上网的电脑主机频繁掉线或是断线，网速慢，或无法上网，症状常为本地联接打了感叹号,无法获取正常的IP地址。经调查，导致该故障的主要原因是ARP病毒，所以我们整理以下相关防治办法发给大家，请大家提高警惕，做好防范措施。
一、故障原因及现象
　　具体表现为：电脑中毒后会向同网段内所有计算机发ARP欺骗包，导致网络内其它电脑因网关物理地址被更改而无法上网，被欺骗电脑的典型症状是刚开机可以上网，几分钟之后断网，过一会又恢复，或者重启电脑后恢复，如此不断重复，造成校园网不稳定，影响正常使用。
 二、故障诊断
　　如果用户发现突然不能上网，可以通过如下操作进行诊断：
　　点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。
　　“arp -d”命令能清除本机的arp表，arp表被清除后接着系统会自动重建新的arp表，“arp -d”命令并不能抵御ARP欺骗，执行“arp -d”命令后仍有可能再次遭受ARP攻击。

三、故障处理
　　1. 杀毒。
　　(1)诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒，注意：查杀病毒只能避免电脑主机成为ARP攻击方，并不能抵御ARP攻击。
　　(2)ARP病毒专杀工具下载。
　　下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看report文档便知是否中毒。
　　2. 使用AntiArp软件抵御ARP攻击。 (下载AntiArp软件)
　　先查明本机的网关IP地址，可通过以下操作获取：点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车，“Default ateway”后的IP地址就是网关地址。如图：本图的网关地址是：58.194.25.254 。IP地址：58.194.25.74

运行AntiArp，在管理右栏那“网关地址”里填入刚才查到的IP地址，然后点击“获取MAC”，检查网关IP地址和MAC地址无误。点击:自动保护。

3. 除用AntiArp软件外，也可以用arp命令抵御ARP攻击：

先打开命令提示符窗口（方法如上），然后用“arp –a”命令查出默认网关和mac地址
　　运行arp –a 命令后会得出类似如下列表
　　Internet Address  Physical Address       Type
　　222.200.112.1     00-e0-fc-22-ab-c2      dynamic
　　其中Internet Address就是默认网关，Physical Address就是mac地址
　　然后用“arp -s 默认网关 mac地址”进行绑定
    例如: arp –s 222.200.112.1 00-e0-fc-22-ab-c2
　　此命令重启机器后即失效，所以彻底防治的办法还是下载软件杀毒。

四 .再次声明

1 .请用户的电脑一定要安装杀毒软件。推荐网站：vod.nhic.edu.cm/soft。点击下载瑞星杀毒网络版，并且安装并使用网络防火墙软件，

网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。

2 . 经常更新杀毒软件（病毒库）和下载补丁。推荐网站： http://www.gznet.edu.cn/gzcert/index.html.此为华南地区安全响应的主页.

3 . 不要随便点击打开 QQ 、 MSN 等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件。下载请到正规的网站。

　                                      【关闭窗口】