校園網(wǎng)各位用戶(hù):
近期國(guó)內(nèi)很多單位和學(xué)校的局域網(wǎng)爆發(fā)一種新的“ARP欺騙”木馬病毒(Address Resolution Protocol 地址解析協(xié)議)��,病毒發(fā)作時(shí)其癥狀表現(xiàn)為計(jì)算機(jī)網(wǎng)絡(luò)連接正常�,但電腦主機(jī)頻繁掉線(xiàn)或是斷網(wǎng)�����,極大地影響了校園網(wǎng)用戶(hù)的正常使用。為了保證校園網(wǎng)絡(luò)的安全暢通��,現(xiàn)將有關(guān)事項(xiàng)公告如下:
一��、故障現(xiàn)象及原因分析
情況一���、當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)感染了ARP病毒時(shí)���,會(huì)向本局域網(wǎng)內(nèi)(指某一網(wǎng)段���,比如:210.27.192.0這一段)所有主機(jī)發(fā)送ARP欺騙攻擊,讓原本流向網(wǎng)絡(luò)中心的流量改道流向病毒主機(jī)��,導(dǎo)致無(wú)法上網(wǎng)���。由于病毒發(fā)作時(shí)發(fā)出大量數(shù)據(jù)包會(huì)將網(wǎng)絡(luò)擁塞��,大家會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢��。中毒者同樣如此����,受其自身處理能力的限制��,感覺(jué)運(yùn)行速度很慢時(shí)��,可能會(huì)采取重新啟動(dòng)或其他措施�����。此時(shí)病毒短時(shí)間停止工作����,大家會(huì)感到網(wǎng)絡(luò)恢復(fù)正常����。如此反復(fù)��,就造成網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)�����。
情況二����、局域網(wǎng)內(nèi)有某些用戶(hù)使用了ARP欺騙程序(如:網(wǎng)絡(luò)執(zhí)法官、網(wǎng)絡(luò)剪刀手����、傳奇木馬�����、QQ盜號(hào)軟件等)發(fā)送ARP欺騙數(shù)據(jù)包����,致使被攻擊的電腦出現(xiàn)突然不能上網(wǎng),過(guò)一段時(shí)間又能上網(wǎng)��,反復(fù)掉線(xiàn)的現(xiàn)象。
情況三�����、當(dāng)局域網(wǎng)內(nèi)某臺(tái)電腦A向電腦B發(fā)送ARP欺騙數(shù)據(jù)包時(shí)�,會(huì)欺騙電腦B將其通信的數(shù)據(jù)發(fā)向電腦A,電腦A通過(guò)對(duì)截獲的數(shù)據(jù)進(jìn)行分析�����,達(dá)到竊取數(shù)據(jù)(如用戶(hù)賬號(hào))的目的����。
二、故障診斷
如果用戶(hù)發(fā)現(xiàn)以上疑似情況�,可以通過(guò)如下操作進(jìn)行診斷:點(diǎn)擊"開(kāi)始"按鈕->選擇"運(yùn)行"->輸入"arp -d"->點(diǎn)擊"確定"按鈕,然后重新嘗試上網(wǎng)��,如果能恢復(fù)正常��,則說(shuō)明此次掉線(xiàn)可能是受ARP欺騙所致��。
注:"arp -d"命令用于清除并重建本機(jī)arp表���。"arp -d"命令并不能抵御ARP欺騙���,執(zhí)行后仍有可能再次遭受ARP攻擊�����。
三�����、故障處理
1���、殺毒。
諾頓�����、卡巴斯基���、瑞星等殺毒軟件均可查殺此類(lèi)病毒�����,注意:查殺病毒只能避免電腦主機(jī)成為ARP攻擊方,并不能抵御ARP攻擊���。
2�����、中毒者:ARP病毒專(zhuān)殺工具下載 1.96MB (務(wù)必下載安裝后查殺)���;
3��、受害者:下載并安裝AntiARP4.1.1軟件 保護(hù)本地計(jì)算機(jī)正常運(yùn)行
4��、如運(yùn)行AntiArp程序仍無(wú)效果�����,可下載系統(tǒng)補(bǔ)丁以作嘗試(此方法適合對(duì)計(jì)算機(jī)較熟悉的用戶(hù),請(qǐng)按補(bǔ)丁包中的使用說(shuō)明操作): WINXP系統(tǒng)ARP病毒補(bǔ)丁 2KB
5���、除用AntiArp軟件外,也可以用arp命令抵御ARP攻擊(此方法適合對(duì)計(jì)算機(jī)較熟悉的用戶(hù)):
先打開(kāi)命令提示符窗口(方法如上)��,然后用“arp –a”命令查出默認(rèn)網(wǎng)關(guān)和mac地址
運(yùn)行arp –a 命令后會(huì)得出類(lèi)似如下列表
Internet Address Physical Address Type
210.27.192.1 00-e0-fc-22-ab-c2 dynamic
按照前述方法找到默認(rèn)網(wǎng)關(guān)的IP地址后��,在列表中找到默認(rèn)網(wǎng)關(guān)對(duì)就的MAC地址(Physical Address就是mac地址)
然后就用“arp -s 默認(rèn)網(wǎng)關(guān) mac地址”進(jìn)行綁定
例如: arp –s 210.27.192.1 00-e0-fc-22-ab-c2(注��,此MAC地址是例子,用你所得到的MAC地址替換)
不過(guò)因?yàn)檫@重啟機(jī)后是不起作用的���,如需開(kāi)機(jī)就自行綁定arp�����,則需利用bat處理文件
該bat文件寫(xiě)法如下:
@echo off
arp -d
arp -s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址
然后再將該bat文件加入“啟動(dòng)”項(xiàng)��,系統(tǒng)啟動(dòng)后會(huì)自動(dòng)執(zhí)行arp命令綁定網(wǎng)關(guān)�。
6�、為幫助校園網(wǎng)用戶(hù)抵御ARP攻擊,我中心專(zhuān)門(mén)開(kāi)發(fā)了ARP抑制工具軟件�����,請(qǐng)下載并安裝��。由于個(gè)人計(jì)算機(jī)安裝的操作系統(tǒng)不同���,如有首次運(yùn)行不成功��,請(qǐng)嘗試第二次運(yùn)行即可�����。
四��、入網(wǎng)日常安全守則
1����、校園網(wǎng)并不比互聯(lián)網(wǎng)安全��。校園網(wǎng)是互聯(lián)網(wǎng)的組成部分��。校園網(wǎng)內(nèi)用戶(hù)并非全部安全可靠�,甚至依仗內(nèi)網(wǎng)的速度優(yōu)勢(shì),校園網(wǎng)更容易成為病毒傳播的溫床�,也給攻擊你的駭客帶來(lái)便利。
2���、設(shè)置足夠復(fù)雜的密碼���。脆弱的密碼是給別人開(kāi)設(shè)的方便之門(mén)。
3�、及時(shí)更新操作系統(tǒng)補(bǔ)丁、安裝可靠的殺毒軟件并及時(shí)更新病毒庫(kù)�。(補(bǔ)丁就是操作系統(tǒng)的疫苗,打一個(gè)就防一種威脅�,打得越全越安全��。)
注意:目前國(guó)內(nèi)主流的計(jì)算機(jī)防毒軟件只能避免自己電腦主機(jī)感染ARP病毒�����,但無(wú)法抵御同網(wǎng)段其它已感染ARP病毒的計(jì)算機(jī)的病毒攻擊�����。
4���、要增強(qiáng)網(wǎng)絡(luò)安全意識(shí),培養(yǎng)良好的使用習(xí)慣�����。不要輕易下載����、使用盜版和存在安全隱患的軟件;或?yàn)g覽一些缺乏可信度的網(wǎng)站(網(wǎng)頁(yè))���;不要隨便打開(kāi)不明來(lái)歷的電子郵件����,尤其是郵件附件;不要隨便共享文件和文件夾�����,即使要共享���,也得設(shè)置好權(quán)限,一般指定特定帳號(hào)或特定機(jī)器才能訪(fǎng)問(wèn)�,另外不建議設(shè)置可寫(xiě)或可控制,以免個(gè)人計(jì)算機(jī)受到木馬病毒的侵入給校園網(wǎng)的安全帶來(lái)隱患�����。
5��、網(wǎng)絡(luò)安全靠大家�。校園網(wǎng)是公共服務(wù)設(shè)施,保障網(wǎng)絡(luò)安全不僅是網(wǎng)絡(luò)中心的工作����,更是每位網(wǎng)絡(luò)用戶(hù)應(yīng)盡的義務(wù)。只有依靠大家群策群力�����、群防群治,網(wǎng)絡(luò)才能長(zhǎng)治久安�����。
五�、管理措施
此類(lèi)ARP攻擊雖危害巨大,但由于攻擊范圍僅限本網(wǎng)段而難以集中監(jiān)控��,請(qǐng)廣大用戶(hù)積極配合�����,及時(shí)將AntiArpSniffer軟件所發(fā)現(xiàn)的感染病毒機(jī)器的相關(guān)地址及時(shí)通告網(wǎng)絡(luò)中心(聯(lián)系電話(huà)2061281)�����。一旦確認(rèn)攻擊源�,無(wú)論是無(wú)意中毒還是有意攻擊,網(wǎng)絡(luò)中心將先封閉其交換機(jī)端口����,待病毒清除后再行解封。
寧夏大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)管理中心
二〇〇六年十一月十日
English 