防治ARP病毒保证校园网畅通
 
防治ARP病毒保证校园网畅通
发布时间: 2007-11-26

    近期校园网爆发一种新的“ARP欺骗类”木马病毒,病毒发作时明显的症状就是同一个子网中的计算机BRAS连接自动断开,频繁断网。由于ARP类木马病毒极大地影响了校园网用户的正常使用。为了保证校园网络的安全畅通,现将有关事项公告如下:
已经感染ARP类木马病毒的用户,可以从校园网下载趋势SysClean工具或其他杀毒软件进行清除病毒木马。
网络中心建议所有用户安装趋势科技防病毒软件,安装方法在http://antivirus.seu.edu.cn
一、故障现象及原因分析
     情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:202.119.24.0这一段)所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备,让原本流向网关的流量改道流向病毒主机,造成受害者正常上网。
     情况二、局域网内有某些用户使用了ARP欺骗程序(如:传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
                        
二、故障诊断
   如果用户发现以上疑似情况,可以通过如下操作进行诊断:
   点击“开始”按钮->选择“运行”->输入“arp –d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
   注:arp -d命令用于清除并重建本机arp表。arp –d命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
 
三、故障处理
    1、中毒者:建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。SysClean下载和使用方法可以访问http://antivirus.seu.edu.cn
2、被害者:使用AntiArpSniffer软件抵御ARP攻击。
下载后解压缩,运行AntiArp。输入本网段的网关ip地址后,点击“获取网关MAC地址”,检查网关IP地址和MAC地址无误后,点击“自动保护”。
    若不知道网关IP地址,可通过以下操作获取:点击"开始"按钮->选择“运行”->输入cmd点击“确定”->输入ipconfig按回车,“本地连接”中“Default Gateway”后的IP地址就是网关地址。
AntiArp软件会在提示框内出现病毒主机的MAC地址。
 
四、入网日常安全守则
    1、校园网并不比互联网安全;
    校园网是互联网的组成部分。校园网内用户并非全部安全可靠,甚至依仗内网的速度优势,校园网更容易成为病毒传播的温床,也给攻击你的骇客带来便利。
    2、设置足够强劲的密码;
    脆弱的密码是给别人开设的方便之门。正在用电脑的也许不只是坐在显示器前的您。
    3、及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库;
     补丁就是操作系统的疫苗,打一个就防一种威胁,打得越全越安全。
     注意:目前的计算机防毒软件只能避免自己电脑主机感染ARP病毒,但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。
    4、要增强网络安全意识,培养良好的使用习惯;
     不要轻易下载、使用不了解和存在安全隐患的软件,不浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。目前网络上很多网站使用带有诱惑性的页面来诱使用户下载木马病毒,请用户一定要注意防范。
    5、网络安全靠大家
     校园网是公共服务设施,保障网络安全不仅是网络中心的工作,更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治,网络才能长治久安。

 
版权所有 东南大学网络与信息中心 技术支持:南京苏迪科技有限公司