各校園網用戶：

　　5月31日上午，信息網絡中心陸續接到數個單位打來的電話，稱網絡不通或時斷時續。信息網絡中心立即對所述情況進行排查，發現包括實驗實訓中心、行政辦公樓、熱環樓、圖書館、實驗實訓樓等單位均出現了“ARP欺騙”木馬（病毒）的感染和攻擊。之前，信息網絡中心曾發布過“關于查殺“ ARP 欺騙”木馬的通知”，要求各單位重視該問題，并及時安裝操作系統補丁和殺毒軟件。信息網絡中心在此再次提醒各校園網用戶單位，一定要注意對已經嚴重危害校園網絡正常運行的ARP欺騙病毒進行及時防范。信息網絡中心對于發現已感染“ARP欺騙”病毒的計算機將進行強制斷網的處罰，直至整改完畢方可允許接入網絡。

        “ARP欺騙”木馬（病毒）的特征

         近期在全國范圍內大規模爆發ARP病毒及其各種變種。我校校園網內目前已經發現許多臺電腦中毒，電腦中毒后會向同網段內所有計算機發ARP欺騙包，由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞，用戶會感覺上網速度越來越慢、時斷時續，掉線，甚至無法上網，同時造成整個校園網的不穩定。

      解決方法

        一、由于該病毒影響了整個網段內用戶的正常上網，一旦查到病毒機器，信息網絡中心在迫不得已時將停用該機器的上聯交換機端口（直到機器病毒被清除），以保證其他機器正常上網，敬請諒解！查出病毒后請進行徹底殺毒，由于目前尚沒有發現哪種殺毒軟件能徹底清除ARP病毒，所以網絡中心建議將機器格式化并重裝系統。諸如“木馬殺客”等木馬專殺工具軟件可在一定程度上對部分ARP木馬（病毒）進行清除，建議感染了該病毒的機器安裝使用。

        二、校園網用戶要增強網絡安全意識，不要輕易下載、使用盜版和存在安全隱患的軟件；或瀏覽一些缺乏可信度的網站（網頁）；不要隨便打開不明來歷的電子郵件，尤其是郵件附件；不要隨便共享文件和文件夾，即使要共享，也得設置好權限，一般指定特定帳號或特定機器才能訪問，另外不建議設置可寫或可控制，以免個人計算機受到木馬病毒的侵入給校園網的安全帶來隱患。

        三、校園網用戶一定要及時下載和更新操作系統的補丁程序，安裝正版的殺毒軟件，增強個人計算機防御計算機病毒的能力。

        四、用戶檢查和處理“ ARP 欺騙”木馬的方法。

        1. 檢查本機是否中的“ ARP 欺騙”木馬染毒，同時按住鍵盤上的“ CTRL + ALT +DEL ”鍵，選擇“任務管理器”，點選“進程”標簽。查看其中是否有一個名為“ MIR0.dat ”之類的進程。如果有，則說明已經中毒。右鍵點擊此進程后選擇“結束進程”。

    2. 檢查本地計算機是否被ARP病毒攻擊的方式：開始－運行，輸入“cmd”確定，啟動Ms－dos程序，在其中輸入：arp -a回車；如果在輸出中看到除網關之外的其他IP地址，說明本地計算機正處于arp病毒的攻擊中，請將除網關之外的其他IP地址舉報到網絡信息中心，我們將立即通知病源計算機用戶，并強行關掉該計算機的網絡上聯口，直至整改完畢方可接入Internet。

        3. 鑒于此病毒對校園網影響較大，請用戶下載“AntiArpSniffer3”軟件進行防護：點擊下載該軟件。

　　未中毒而只是被攻擊的電腦，防護辦法如下：在本機安裝運行AntiArpSniffer3，在“網關地址”中輸入本機的默認網關地址（各網段的網關地址不一樣，具體查看網關地址的方法參見附圖2），然后點擊“枚取MAC”按鈕，再點擊“自動防護”即可。

　　另外請注意，對于西校區等需要認證的網絡，該軟件在運行后可能造成客戶端無法正常登陸，因此需要先在登陸成功后再運行該軟件。由于此病毒只感染同一個網段的電腦，因此，如果用戶所在的網段沒有電腦感染arp病毒，即用戶上網正常，沒有如上的癥狀，就不需要安裝此軟件進行防護。

        希望校園網各用戶注意查殺病毒，如果你所在的網段出現以上情況，在使用AntiArpSniffer3過程中如果追查到中毒電腦，請及時上報學院信息網絡中心。

        校園網是公共服務設施，保障網絡安全不僅是信息網絡中心的工作，更是每位網絡用戶應盡的義務。只有依靠大家群策群力、群防群治，網絡才能長治久安。

附圖1：AntiArpSniffer3的正確配置示意


附圖2：查看本機網關地址的方法

附圖2說明：windows2000和 xp的機器，點擊電腦左下角的“開始”，選擇“運行”，然后輸入：cmd 點擊確定，在出現的dos窗口中輸入：ipconfig /all然后回車，在出現的項目中找到Default Gateway 對應的地址即是。

現代教育技術中心 網絡技術部

二oo七年五月三十一日