本校校园网用户:
近期,学校校园网在实训中心、综合楼区域出现不同程度的网络拥堵与瘫痪,经网络中心查明,多属区域内某台PC机感染ARP欺骗类的游戏外掛或木马病毒引起。现将近期查实感染上述病毒的IP地址列举如下,网络中心已限制该地址与校园网的连接,请使用下列IP地址的用户对自己的计算机进行检查消除病毒感染,并将检查结果报送网络中心。
|
IP地址 |
房间号 |
所属部门 |
故障时间 |
|
219.220.233.10 |
14号楼412室 |
机电学院 |
2007-01-10 |
|
219.220.233.82 |
14号楼412室 |
机电学院 |
2007-01-10 |
|
202.121.233.235 |
14号楼427室 |
机电学院 |
2007-01-10 |
|
219.220.233.240 |
16号楼407室 |
环境工程系 |
2007-01-19 |
|
219.220.233.182 |
16号楼408室 |
理学院 |
2007-01-10 |
|
219.220.237.111 |
17号楼103室 |
实训中心 |
2007-01-11 |
|
219.220.237.120 |
17号楼103室 |
实训中心 |
2007-01-09 |
|
219.220.224.43 |
1号楼204室 |
团委 |
2007-01-17 |
|
219.220.224.253 |
1号楼501室 |
计算机与信息学院 |
2007-01-17 |
【故障现象】
ARP地址欺骗的危害主要表现如下:
1、网络访问时断时继,掉线频繁,网络访问速度越来越慢。
2、同一网段的所有上网机器无法正常连接网络。
3、打开windows任务管理器,出现可疑进程,如“MIE0.dat”等进程。
4、路由器的系统历史记录中看到大量的MAC更换信息
目前知道的带有ARP欺骗功能的软件有QQ第六感、网络执法官、P2P终结者、网吧传奇杀手等。
【故障原理】
ARP 欺骗一般分为两种,一种是对路由器ARP 表的欺骗;另一种是对内网PC的网关欺骗。第一种 ARP 欺骗是截获网关数据,它通知路由器一系列错误的局域网 MAC 地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送到错误的 MAC 地址,造成正常的计算机无法收到信息。第二种 ARP 欺骗是通过交换机的 MAC 地址学习机制,伪造网关。它的原理是建立假的网关,让被它欺骗的计算机向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有计算机无法访问网络。
【预防措施】
1、全面安装升级防杀毒软件,目前,卡巴司基、瑞星对该类病毒的查杀比较有效。
2、Windows用户可通过在命令行方式下执行下述命令,以减轻中毒计算机对本机的影响:
arp –s 网关IP 网关MAC地址
网关IP和MAC地址可在网络工作正常时通过命令行方式下的“arp –a”命令来得到。
针对不同的网络结构解决方法都有所不同,但目前为止通过搜索互联网上资料,还没有任何一个完美的解决方法,一个重要的原因就是这本身是互联网的一个致命的顽疾(ARP协议通过发送ARP广播来获取IP地址与实际MAC地址的映射),越大的网络越难处理。只要有一台电脑中毒,整个网络都瘫痪,这给杀毒处理工作带来很大的难度。希望校园网师生提高防毒意识,做好自身用机的安全工作,也欢迎广大师生发挥群防群治的作用,确保校园网的安全稳定地运行,如有更简单快捷的查杀方法或工具,可与本网络中心网管员联系。
联系人:张老师
电话:50217339
网络中心
2007年1月22日
