自今年三月份以来,"ARP欺骗"类病毒/木马在校园网内屡有发现,最近一段时间尤其严重,已经严重影响了校园网络的正常运行。
对于感染病毒的用户,网络中心会根据其产生的后果严重程度,采取提醒警告乃至暂时关闭网络接入端口等必要措施来保障校园网正常运行。
病毒简要分析:
当某台电脑感染了这类ARP欺骗病毒/木马程序后,会不定期发送伪造的ARP响应数据报文和广播报文。受感染电脑发出的这种报文会欺骗所在网段的其他电脑和楼内三层交换机,
对其他电脑宣称自己的mac就是网关的mac,对实际的网关说其他电脑ip的mac都是自己的mac,从而转发并截获其他电脑的上网流量。
引起的后果:
1).由于其他电脑的对外访问都通过病毒主机,可能导致非加密或简单加密的用户各种IM/Mail等帐号信息被窃取。
2).由于中毒主机本身发送大量的数据报文造成拥塞以及自身处理能力的限制,其他用户上网稳定性会明显受影响。
3).在部分使用三层交换机的楼宇内如果有用户感染病毒,交换机的 arp 缓存表里就会看到有大量类似
202.120.1.100 00:0D:60:A3:78:BE
202.120.1.101 00:0D:60:A3:78:BE
202.120.1.102 00:0D:60:A3:78:BE
......
的记录,由于我们学校使用了IP-MAC绑定策略,如果交换机发现有 IP 对应的MAC和当初申请的不一致,就会阻断这个IP的对外连接,从而导致被arp欺骗的主机可能无法正常上网。
定位病毒主机:
Windows 2000/XP/2003系统的用户:
点出 [开始]菜单 - 选[运行] ,输入 "cmd" 并确定调出"命令提示符"窗口
[步骤1]:
输入并以下命令并按回车键:
C:/>ipconfig
记录网关 IP 地址,即 "Default Gateway" 对应的值,例如 "202.120.48.126" 。
屏幕输出例子:
其中黄色部分表示用户自己的IP地址
Windows IP Configuration
Ethernet adapter Broadcom:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 202.120.48.33
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 202.120.48.126
-------------------------------------
[步骤2]:
再输入以下命令并按回车键:
C:/>arp -a (arp空格 减号a)
在 "Internet Address" 下找到上步记录的网关 IP 地址,
记录其对应的物理地址,即 "Physical Address" 值,例如 "00-e0-fc-7c-9f-03"。
例子:
Interface: 202.120.48.33 --- 0x10003
Internet Address Physical Address Type
202.120.48.126 00-e0-fc-7c-9f-03 dynamic
在网络正常时这就是网关的正确物理地址,
在网络不稳定时,它有可能是感染病毒电脑的网卡物理地址。
在网络不稳定时,除了网关地址的一条记录,还有可能看到另外一个IP地址的一条 arp 记录,类似
Internet Address Physical Address Type
202.120.48.93 00-04-00-00-0b-09 dynamic
202.120.48.126 00-e0-fc-7c-9f-03 dynamic
这个IP(202.120.48.93)就有可能(但不一定)是受感染病毒电脑的IP地址。
把这些MAC地址记下来报给 网络信息中心 或 宿舍楼内 学生网管员,可以尽快找到感染病毒用户,消除网络不稳定的状况。
[注]
1.看到的网关MAC地址如果是
00-01-30开头 或
00-04-96开头 或
00-e0-fc 开头
则一般是正确的。
一次测试可能不能抓到现行犯,网络确实时通时断则需要多测几次
网络时通时断的原因还可能是用户网线质量不过关 或 用户指定错了IP地址,
发现故障只在自己房间发生时请尽快联系网络中心 62932901/62932944 。
病毒清除:
杀病毒并不是一件很复杂的事情,使用常见的防病毒软件,病毒库更新到最新,安全模式下杀毒即可。
再重申一次,如果没有找到感染病毒的原因,即时现在杀了病毒以后还是会再次感染。
