校园网各位用户:
近一段时间以来,校园网部份用户受到一种名为ARP欺骗木马程序(病毒)的攻击(ARP是“Address Resolution Protocol”“地址解析协议”的缩写)。感染该病毒的计算机,会影响整个网段(与病毒机网关相同的所有在线用户)计算机的正常上网,出现同一网段的大面积断网断线,导致校园网用户上网十分不稳定,极大地影响了校园网用户的正常使用,给整个校园网的安全带来严重的隐患。由于现今没有一种有效的杀毒软件解决,我们提供一些解决ARP病毒问题的处理方法。
有关ARP病毒造成的故障现象:
机器以前可正常上网的,突然出现不能登录,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。
故障原因:这是APR病毒欺骗攻击造成的。
ARP病毒一般是由于网络游戏客户端(外挂)携带的ARP。当在局域网内有人下载了含有病毒的程序并运行时,程序携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,让所有上网的流量必须经过病毒主机,这就是为什么计算机不能上网的原因。
临时处理对策:
步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp -a 查看网关IP对应的正确MAC地址,将其记录下来。注意这时类型(Type)为dynamic。
注:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a,最好能在能上网的时候将自己的网关和对应的MAC作一个记录,作为备用。
步骤二. 如果已型氐恼稭AC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp -s 网关IP 网关MAC。最好是在开机后立即进行绑定。
这时,类型变为static,就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。
要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其重装系统,方可解决。而找到被病毒感染的计算机,最有效的方法是使用Anti ARP Sniffer(http://user.cqu.edu.cn/client/Antiarp.rar),记录下攻击数据(最好是截图),发邮件到support@cqucc.com.cn。
对校园网用户的建议:
避免类似网络安全问题的根本解决办法是定期更新操作系统。系统未及时更新的用户请下载系统补丁,打上各种漏洞补丁。
立即安装或更新正版防病毒软件并对内存和硬盘全面扫描。
不要随便共享文件或文件夹,即使要使用共享,应先设置好权限,一般指定帐号或特定机器才能访问,另外不建议设置可写或可控制。
不要随便打开不明来历的电子邮件,尤其是邮件附件。
不要随便登陆不明网站。
对中ARP木马程序(病毒)用户的处理流程
若用户未按上述要求采取查杀措施,导致个人计算机在校园网上发送大量的病毒数据包,影响校园网的安全,我中心将采取以下措施:
(1)立即暂停该用户上网资格,直至该用户重新安装操作系统并已经采取安全措施后再恢复其上网资格。(2)如果该用户第二次被发现在校园网上攻击其他计算机,则取消该用户上网资格一个月,再恢复。(3)如果该用户第三次被发现在校园网上攻击其他计算机,则永久取消该用户上网资格。
