ARP 欺骗预防与处理 13524909459

近期，一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散，严重影响了校园网的正常运行。感染此木

马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计

算机的通信故障。具体表现为客户端状态频频变红、用户频繁断网、 IE 浏览器频繁出错以及一些常用软

件出现故障等问题。目前，已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂

存在着这种木马。此木马的手工查杀比较困难，一般用户可以通过校园网新近投入使用的网络防病毒系统

http://av.tsinghua.edu.cn 进行查杀。有经验的用户和网络管理员也可以通过检查系统进程表和 ARP

表进行感染判断和处理，具体过程和方法见附录。

避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件。保证计算机系统安全的意

义不仅仅在于对个人隐私和信息资料的保护，更重要的是不对网络和他人权益构成损害。为此，学校已经

购买并部署了正版防病毒软件系统 （ http://av.tsinghua.edu.cn ） 以及校内下载安装系统补丁的服

务器（ http://wsus.tsinghua.edu.cn 和 http:// security.sns.tsinghua.edu.cn ）供校内用户免费

下载使用。请老师和同学们认真对待，共同维护健康的校园网络环境。

为了保证大多数用户的上网质量，自本通知发出之日起，将对感染病毒并对其他用户造成影响的网络端口

和网络账号进行隔离处理，时间为 3-7 天，具体信息将在 http://www.tunet.edu.cn 网站上公布。

网络中心

2006 年 4 月 14 日



附录：
一 . 校园网防病毒系统安装和使用方法
登录到清华大学网络中心防毒系统： http://av.ccert.edu.cn/ ，可以先通过趋势科技网络版客户端安

装和使用 FAQ 来了解一下相关信息，然后按照要求正确地安装趋势科技客户端。

二 . 用户检查和处理“ ARP 欺骗”木马的方法
1 ．检查本机的“ ARP 欺骗”木马染毒进程



同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签

。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“

结束进程”。参见右图。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机

在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：

ipconfig

记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。再输入并执行以下命

令：

arp –a

在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical

Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址，在网络受“

ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同

，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

3 ．设置 ARP 表避免“ ARP 欺骗”木马影响的方法

本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地

址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：

arp –s 网关 IP 网关物理地址

三 . 网管定位“ ARP 欺骗”木马感染者的方法
对于用三层设备接入校园网的单位，网管可以检查其三层设备上的 ARP 表。如果有多个 IP 对应同一个

MAC ，则此 MAC 对应的计算机很可能中了本木马。可通过下连二层交换机的转发表查到此 MAC 对应的交

换机端口，从而定位出有问题的计算机。

另一种方法是在局域网内通过交换机端口镜像进行抓包，凡大量发送 ARP 请求的均可能是本木马感染者

。