一、故障现象及原因分析
当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:202.195.224.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。
由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。
二、故障诊断
如果用户发现以上疑似情况,可以通过如下操作进行诊断:点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
三、故障处理
使用趋势科技ARP病毒专杀工具查杀病毒这里下载趋势科技ARP病毒专杀工具http://www.nuist.edu.cn/download/TSC.rar。下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。
因该病毒的变种比较多,通过专杀工具可能不能完全清除该病毒,所以建议清楚不干净的,最好重新安装操作系统。
四、病毒防范(所有网络用户必须安装arp防火墙)
请校园网所有用户必须安装arp病毒防火墙,否则你的网络会时断时续 。
这里下载Arp软件http://www.nuist.edu.cn/download/arp.exe。下载后解压缩,运行Arp。采用默认安装之后,既可以保护你的机器不受arp病毒的侵害。但是不等于你的机器不再受arp病毒的困扰,因为你在的网段其他的机器中了arp病毒,其产生的大量的数据包会占用大量的网络资源,从而导致你的上网速度变慢甚至不能上网,为了大家有一个良好的上网环境,请大家尽快安装arp防火墙。
目前“ARP欺骗”系列病毒传播方式和手段多种多样,因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范措施即打全Windows的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。 对于Windows补丁不仅仅打到SP2(XP)或SP4(2000),其后出现的所有安全更新也都必须及时打全才能最大限度的防范病毒和木马的袭击。
目前在没有成熟的解决方案的情况下,大部分的高校都是采取发现中arp病毒机器后长时间封其端口不让其接入上网的方法。比如南京大学,首次发现封网3天,再次发现封网7天的做法。这种做法可以有效的控制该病毒的传播(可在南大网络中心中心公告中查询)。由于某些原因,我校一直没有采取该种措施,所以导致部分网络用户网络服务会有时受影响的现象。
校园网是公共服务设施,保障网络安全不仅是网络信息中心的工作,也是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治,校园网络才能长治久安。
注:目前行政楼的网络用户采用了ip-mac绑定技术,给大家的使用带来了不便,如果大家都安装了arp防火墙后,我们将撤销arp-mac地址的捆绑。
五、入网日常安全守则
1、局域网并不比互联网安全;局域网是互联网的组成部分。局域网内用户并非全部安全可靠,甚至依仗内网的速度优势,局域网更容易成为病毒传播的温床,也给攻击你的骇客带来便利。
2、设置足够强劲的密码;脆弱的密码是给别人开设的方便之门。正在用电脑的也许不只是坐在显示器前的您。
3、及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库;
补丁就是操作系统的疫苗,打一个就防一种威胁,打得越全越安全。
注意:目前国内主流的计算机防毒软件只能避免自己电脑主机感染ARP病毒,但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。
4、要增强网络安全意识,培养良好的使用习惯;不要轻易下载、使用不了解和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒的侵入给局域网的安全带来隐患。绝对的匿名是不可能实现的, 无论是在真实的生活中还是在WEB上。
网络信息中心
2007年9月