Qno由器ARP病毒防制方案

　　近期，国内多家网吧出现短时间内断线(全断或部分断)的现象，但会在很短的时间内会自动恢复。这是因为MAC地址冲突引起的，当带毒机器的MAC映射到主机或者由器之类的NAT设备，那么全网断线，如果只映射到网内其他机器，则只有这部分机器出问题。多发于传奇游戏特别是私服务外挂等方面。此类情况就是网络受到了ARP病毒的明显表现，其目的在于，该病毒破解游戏加密解密算法，通过截取局域网中的数据包，然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒，就可以获得整个局域网中游戏玩家的详细信息，盗取用户帐号信息。下面我们谈谈如何防制这种。

　　首先，我们先简单了解一下什么是ARP病毒，这种病毒是对内网的PC进行，使内网PC机的ARP表混乱，在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP，能够在网络中产生大量的ARP通信量使网络阻塞。进行ARP重定向和嗅探。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的。这些情况主要出现在网吧用户，造成网吧部分机器或全部机器暂时掉线或者不可以上网，在重新启动后可以解决，但保持不了多久有会出现这样的问题，网吧管理员对每台机器使用arpCa命令来检查ARP表的时候发现由器的IP和MAC被修改，这就是ARP病毒的典型症状。

　　这种病毒的程序如PWSteal.lemir或其变种，属于木马程序/蠕虫类病毒，Windows95/98/Me/NT/2000/XP/2003将受到影响，病毒的方式对影响网络连接畅通来看有两种，对由器的ARP表的和对内网PC网关的，前者是先截获网关数据，再将一系列的错误的内网MAC信息不停的发送给由器，造成由器发出的也是错误的MAC地址，造成正常PC无法收到信息。后者ARP是伪造网关。它先建立一个假网关，让被它的PC向假网关发数据，而不是通过正常的由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

　　就这两种情况而言，如果对ARP病毒进行防制的话我们必须得做由器方面和客户端双方的设置才问题的最终解决。所以我们选择由器的话最好看看由器是否带有防制ARP病毒的功能，Qno侠诺产品正好提供了这样的功能，相比其他产品操作简单易学。下面具体谈谈Qno侠诺由器产品是如何设置防止ARP病毒的。

　　1、激活防止ARP病毒：

　　进入“DHCP功能”的“DHCP配置”，在这个页面的右下可以看到一个“IP与MAC绑定”你可以在此添加IP与MAC绑定，输入相关参数，在“激活”上点“√”选再“添加到对应列表”，重复操作添加内网里的其他IP与MAC的绑定，再点页面最下的“确定”。如图2

　　上不了192.168.1.1当添加了对应列表之后，其对应的信息就会在下面的白色框里显示出来。不过不采用此方法，这样操作需要查询网络内所有主机IP/MAC地址工作量繁重，还有一种方法来绑定IP与MAC，操作会相对容易，可以减少大量的工作量，节约大量时间，下面就会讲到。

　　针对网络内的其他主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作，如果重起了电脑，作用就会消失，所以可以把此命令做成一个批处理文件，放在操作系统的启动里面，批处理文件可以这样写：

　　对于已经中了arp的内网，要找到源。方法：在PC上不了网或者ping丢包的时候，在DOS下打arpCa命令，看显示的网关的MAC地址是否和由器真实的MAC相同。如果不是，则查找这个MAC地址所对应的PC，这台PC就是源。

　　其他的由器用户的解决方案也是要在由器和PC机端进行双向绑定IP地址与MAC地址来完成相应防制工作的，但在由器端和PC端对IP地址与MAC地址的绑定比较复杂，需要查找每台PC机的IP地址与MAC加大了工作量，操作过程中还容易出错。

　　以上方法基本可以解决ARP病毒对网络造成相关问题，以上方法也经过多个用户以及网吧实验，都达到了用户预期的效果。QNO侠诺产品的解决方法操作比较容易学习，而且不必要查找整个网络的IP/MAC地址，就可以在由器端进行绑定，安全可靠。