校园网各位用户:
近期学校的局域网中爆发一种目前困扰众多局域网用户的“ARP欺骗”木马病毒
(Address Resolution Protocol 地址解析协议),病毒发作时其症状表现为计算机网络
连接正常,能登陆成功却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出
大量的数据包,导致网络运行不稳定,频繁断网、 IE 浏览器频繁出错以及一些常用软件
出现故障等问题,极大地影响了校园网用户的正常使用。为了保证校园网络的安全畅通,
现将有关事项公告如下:
一、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如
:202.206.151.这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流
向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过
病毒主机上网。由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来
越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重
新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就
造成网络时断时续。
情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传
奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过
一段时间又能上网,反复掉线的现象。
二、故障诊断
如果用户发现以上疑似情况,可以通过如下操作进行诊断:点击"开始"按钮->选择"运
行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此
次掉线可能是受ARP欺骗所致。
注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执
行后仍有可能再次遭受ARP攻击。
三、故障处理
1、中毒者:ARP病毒专杀工具下载 1.96MB (务必下载安装后查杀,软件包中有使
用说明,到校园网软件下载常用工具中下载);
2、受害者:下载安全卫士360软件 5.44 MB 保护本地计算机正常运行(到校园网软
件下载常用工具中下载)
安全卫士360下载安装后,升级到最新版本,然后单击安全卫士360主界面上面的“保
护”按钮,接着单击“局域网ARP攻击拦截”右边的“开启”按钮即可,
3、二级单位统计一下本单位所有计算机的IP地址和mac地址,以便发现问题时我们能
够及时解决。
可以通过如下操作进行统计:点击"开始"按钮->选择"运行"->输入"cmd "->点击"确
定"按钮,然后输入ipconfig –all,然后记下IP Address和Physical Address
四、入网日常安全守则
1、校园网并不比互联网安全。校园网是互联网的组成部分。校园网内用户并非全部
安全可靠,甚至依仗内网的速度优势,校园网更容易成为病毒传播的温床,也给攻击你的
骇客带来便利。
2、目前我校使用的拨号软件以及杀毒软件在一定程度上限制了ARP病毒以及其他病毒的传
播,主要传播途径为U盘传播,此次校园内大规模出现ARP病毒也是由于U盘使用不当造成
的。因此建议各位用户在使用U盘时先进行杀毒扫描,再执行操作,否则任何一款杀毒软
件都是无法进行完全防范的。
3、及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库。(补丁就是操
作系统的疫苗,打一个就防一种威胁,打得越全越安全。)
注意:目前国内主流的计算机防毒软件最多只能避免自己电脑主机感染ARP病毒,但
无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。
4、要增强网络安全意识,培养良好的使用习惯。不要轻易下载、使用不了解和存在
安全隐患的软件;或浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒
的侵入给校园网的安全带来隐患。
5、网络安全靠大家。校园网是公共服务设施,保障网络安全不仅是网络中心的工作,更
是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治,网络才能长治久安。
五、管理措施
此类ARP攻击虽危害巨大,但由于攻击范围仅限本网段而难以监控,请广大用户积极配
合,及时将有关情况通告网络中心。一旦确认攻击源,无论是无意中毒还是有意攻击,网
络中心将先封闭其交换机端口,待病毒清除后再行解封。
网管中心
2008年10月8号