[转帖]另类思路解决校园网ARP病毒问题

虽然arp病毒不是个新名词，但是至今仍在不少校园网内横行。当然杀毒，防御是一种手段。但是如果换种思路很可能就会较为轻松的彻底解决。当然这还是有一定前提条件的，即你所在的校园网是要使用锐捷等软件认证后才能访问网络。因为大多数校园网使用的多为锐捷，下以锐捷为例：

制作统一版本的客户端（比如都必须使用锐捷2.56），然后在服务端打开“完整性校验”即可。

它的原理是利用目前几乎所有的arp病毒都有一个毛病，就是修改本机exe文件的行为。那既然exe文件被修改，那锐捷客户端的完整性就被破坏了，从而导致登录认证失败，连不上网络。如果用户反复登录10次，将被列入黑名单，这样在客户端就会提示“用户名或密码错误”。因为感染arp病毒的机器连不上网络，因此就无法对所在局域网展开攻击，影响到其他人；再者因为帐户被列入黑名单学生必须到网络中心手动解封，从而也便于网络维护老师准确定位下边局域网谁感染了病毒。同时因为打开完整性校验，这样也同时封禁了非法代理服务器和非法客户端，更加利于网络的管理。

这种方案不仅适用与锐捷，凡是上网认证系统带“完整性校验”功能的均可采用。

当然该方法的局限性也很明显，就是如果攻击者不是中了病毒，而是蓄意攻击了，窃取同学数据了？比如使用执法官或者直接的arp攻击软件。所以还是需要搭配arp防火墙类软件，发现攻击者立即报告给学校网络中心（一般提供ip或网关即可），协助学校进行处理。但是校园网用户千万不要打开主动防御模式，这样将会导致更大规模的校园网用户集体掉线。