关于查杀、防范ARP病毒攻击的通知
校园网各位用户:
近一段时间以来,由于大范围ARP木马病毒流行,整个校园网受到影响,病毒发作时其症状表现为计算机网络连接正常,却无法打开网页;部分用户频繁出现断线,或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致校园网用户上网不稳定,严重时会造成全网堵塞,用户上网速度极慢,甚至造成网络短时瘫痪,极大地影响了校园网用户的正常使用,给整个校园网的安全带来严重的隐患。为此,请校园网用户及时更新病毒库和安装系统补丁,提高防范措施;特提醒校园网用户务必采取以下措施。
一、校园网用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;建议关闭网络邻居,即使要共享文件,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。
二、严禁使用黑客工具、木马、网络执法官、P2P终结者等工具进行盗窃别网上信息、破坏互联网通信的行为,如果发现将按照互联网法律法规及校园网管理规定进行处理,情节严重的将移交公安部门处理。
三、校园网计算机用户要及时更新操作系统的补丁程序,增强个人计算机防御计算机病毒的能力。计算机中应安装杀毒软件及个人防火墙,并及时升级病毒库。
四、若用户未按上述要求采取任何安全措施,导致计算机在校园网上发送大量的病毒数据包,影响了校园网的安全,信息与教育技术中心将采取有效措施令其离线杀毒。
五、防范措施
ARP病毒是采用2层ARP报文,利用中毒主机发送大量ARP报文(报文内容为IP地址为网关地址,MAC为中毒主机MAC),将同网段内的所有其他主机流量引向自己,从而通过抓包的方式截取各种密码信息.最早的ARP病毒是传奇木马(MIRO.dat)做出来的。由于ARP病毒基于OSI模型第2层,且协议设计之初没有任何验证功能,所以防范措施比较被动。
若发现计算机网络连接正常,有收发字节,却无法打开网页,可能是网段内有ARP病毒,可以采取以下防范措施:
绑定本机网关物理地址
Windows 2000/XP/2003系统的用户:
点出[开始]菜单-选[运行],输入cmd并确定调出命令提示符窗口
【步骤1】:
输入并以下命令并按回车键:
ipconfig
记录网关IP地址,即Default Gateway对应的值,例如218.195.33.1。
屏幕输出例子:
-------------------------------------
Windows IP Configuration
Ethernet adapter本地连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 218.195.33.132
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 218.195.33.1
-------------------------------------
【步骤2】:
再输入以下命令(arp空格减号a)并按回车键:
arp -a
在Internet Address下找到上步记录的网关IP地址,
记录其对应的物理地址,即Physical Address值,例如00-0d-ed-9b-9d-3f。
例子:
Interface: 218.195.33.1 --- 0x10003
Internet Address Physical Address Type
218.195.33.1 00-0d-ed-9b-9d-3f dynamic
在网络正常时这就是网关的正确物理地址,在网络不稳定时,它有可能是感染病毒计算机的网卡物理地址。
【步骤3】
绑定网关硬件地址
输入以下命令并按回车键:
arp–d * (arp空格减号空格星号)
这条命令删除所有的ARP表里的缓存
在输入以下命令并按回车键:
arp–s (网关IP地址) (网关物理地址)
本条命令括号里的内容需要您根据自己的网段填写,网关的物理地址可以向信息与教育技术中心信息部查询。
例如:
arp–s 218.195.33.1 00-0d-ed-9b-9d-3f(arp减号s空格网关IP网关物理地址)
【步骤4(可选)】
上面的命令在计算机重新启动后就失效了,每次手动执行比较繁琐,可以写入一个bat文件里,放入启动选项,每次开机就可以自动执行了。
将上面绑定网关的命令写到一个.bat文件里
@echo off
arp -d
arp -s网关IP地址网关物理地址
保存,选开始->所有程序->双击启动->再把写好的.bat文件拷到启动中,以保证下次开机自动运行。