各网络用户：

        近期，一种名为“ arp 欺骗”的木马病毒正在我校校园网中肆虐蔓延，严重影响了校园网的正常运行。感染此木马的计算机试图通过“ arp 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。具体表现为用户频繁断网、ie 浏览器频繁出错以及一些常用软件出现故障等问题。

一 用户检查“ ARP 欺骗”木马的方法 

1.检查本机的“ ARP 欺骗”木马染毒进程

        同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。

2 .检查网内感染“ ARP 欺骗”木马染毒的计算机

        在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：

        ipconfig

        记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“10.8.20.1”。再输入并执行以下命令：

        arp –a

        在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-e0-fc-3e-13-b4 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

        也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

二 解决“ ARP 欺骗”木马的方法

1.利用木马拦截工具（从以下推荐的软件中选择一款）:

(1). 风云防火墙

官方网站：点此进入 软件下载：点此下载

(2). 奇虎360ARP防火墙(免费、强烈推荐)

官方网站：点此进入 软件下载：点此下载

        下载并安装360安全卫士, 然后在360安全卫士的主面板中点击"保护",然后在其中的"局域网arp攻击拦截"项点击"开启"(默认安装是关闭的),最后重新启动计算机就生效了。

360安全卫士

(3). 彩影ARP防火墙个人版（免费、强烈推荐）

官方网站：点此进入 软件下载：点此下载

(4). 瑞星防火墙

官方网站：点此进入 软件下载：点此下载

(5). 超级巡警（免费）

官方网站：点此进入 软件下载：点此下载

(6). 金山ARP防火墙（免费、强烈推荐）

官方网站：点此进入 软件下载：点此下载

2.设置 ARP 表避免“ ARP 欺骗”木马影响的方法

        本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上述介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：

        arp –s  网关IP  网关MAC地址

        如：arp -s 10.8.20.1 00-e0-fc-3e-13-b4

        也可将此命令写入一个".bat"文件并放在"启动"中，使得系统每次启动就生效。

永安九中网络中心

2008年9月13日