|
|
"ARP欺骗"类病毒通告
2007年11月10日 阅读次数:2277 默认字体 9pt 10pt 11pt 12pt 13pt 14pt 15pt 16pt 17pt 18pt 20pt 25pt
自今年3月中旬以来,"ARP欺骗"类病毒在校园网内屡有发现,经过网络中心工作人员加班加点仔细排查、严密监控,"ARP欺骗"类病毒/木马已得有效遏制,但此病毒相继产生了很多变种,给校园网络管理带来了新的挑战。
当某台电脑感染了这类ARP欺骗病毒程序后,会不定期发送伪造的ARP响应数据报文和广播报文。受感染电脑发出的这种报文会欺骗所在网段(甚至整层办公楼)的其他电脑,对其他电脑宣称自己的mac就是网关的 mac,对实际的网关说其他电脑ip的mac都是自己的mac,这样网关(交换机或路由器)无法学习到上网主机的mac ,更新不了网关ARP表,就无法转发数据帧。电脑中毒后会向同网段内所有计算机发ARP欺骗包,导致网络内其它电脑因网关物理地址被更改而无法上网,被欺骗电脑的典型症状是刚开机能上网,几分钟之后断网,过一会又能上网,或者重启一遍电脑就可以上网,一会又不好了,如此不断重复,造成校园网的不稳定,影响正常使用。
对于感染病毒的用户,信息网络中心会根据其产生的后果严重程度,采取提醒警告乃至暂时关闭网络接入端口等必要措施来保障校园网正常运行。近期查到中毒并封端口的计算机出自2号楼,3号楼,主北楼6层,文科楼物业等的部分科室,对其所属楼层造成严重影响,其中有些科室竟连基本杀毒软件都没有安装。予以警告。此ARP病毒为木马病毒附带的一种欺骗病毒,目前无专杀ARP病毒的有效软件。感染此病毒的计算机只能通过重新安装操作系统实现正常运行。
未中毒而只是被攻击的电脑临时处理对策:
步骤一.在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。www.cun.edu.cn,K�s:I,d6cw
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二.如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC
例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:www.cun.edu.cn4[�~�G�N�i�e�^�x�^!pw
C ocuments and Settings>arp -a 显示如下:
Interface: 218.197.192.1 --- 0x2 www.cun.edu.cn'Y2m4{!I ^�a�Y*H8n+Oc
Internet Address Physical Address Type www.cun.edu.cn"~7M6f�u d B(Jc
218.197.192.254 00-01-02-03-04-05 dynamic www.cun.edu.cn/o�s8~�B9}w
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。www.cun.edu.cn0W)t�f5E�j$u�X�W'Tu
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。 www.cun.edu.cn�v%`'h2v2N�ow
手工绑定的命令为: www.cun.edu.cn�I9M�G/A�L�|]x�yw
arp –s 218.197.192.254 00-01-02-03-04-05 www.cun.edu.cn!W�b�q P4l�N1E$G�^w
绑定完,可再用arp –a查看arp缓存, www.cun.edu.cn#l#\�R�G�w x�`�O�Gw
Cocuments and Settings>arp -a www.cun.edu.cn1|6D�{#d6F4[*{5L1o1Pu
Interface: 218.197.192.1 --- 0x2 www.cun.edu.cn�K6T�J8k _(v�Kw
Internet Address Physical Address Type www.cun.edu.cn�m�\7r1C a�G�I0E.
218.197.192.254 00-01-02-03-04-05 static www.cun.edu.cn�o;m�k�d8n h)Y%p�\w
这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。
http://www.cun.edu.cn/news.php?id=31 |
|
发表于 2007-12-18 14:41:05
楼主
校内计算机就是一个毒源
发表于 2007-12-18 23:07:40
