【故障现象】
近一段时间以来,大量师生反映网络时断时续,而且这种情况一旦发生,校园网内所有用户都不能正常上网。网络中心通过深入分析发现是因为局域网内部分用户受到一类名为ARP病毒程序的攻击,该病毒有许多变种。病毒发作时其症状表现为计算机网络连接正常却无法打开网页,甚至导致同一局域网内的其它电脑也会出现网络速度变慢或者网络连接完全断开,出现一会儿能上网,一会儿断网的时断时续现象。严重影响了网络的稳定与性能。
【故障原因】
局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
【故障原理】
arp病毒的原理是:局域网中一台计算机,反复向其他计算机,特别是向网关,发送假冒的ARP应答信息包。导致其他计算机的arp信息错误,与网关的通信中断,出现断网现象。当arp表的老化时间过后,计算机重新获得正确的arp信息,上网就可以恢复,但过一会儿又可能出现断网,严重地影响了各用户的上网和正常工作。
当局域网内某台主机感染了该病毒时,会欺骗本局域网内所有主机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网,切换过程中本局域网的用户会断一次线。由于该病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当该病毒停止发作时,用户会恢复成正常上网状态,切换过程中用户电脑会再断一次线。病毒不断发作,就造成网络的时断时续。
【病毒的破坏作用】
病毒发作时除了会导致其他电脑出现时断时续外,还会窃取用户密码(如QQ、网络游戏、网上银行以及其它脆弱系统帐号等),这是木马的惯用伎俩。
【安全防范】
1、经常给系统安装补丁程序。
2、用户给自己的电脑的系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户。
3、安装并经常更新杀毒软件(病毒库),并在未连接至互联网时(安全模式亦可)查杀病毒。安装并使用防火墙软件,防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。有些电脑往往中了不止一个类型的病毒,有些病毒采用系统服务或系统驱动的技术潜伏于电脑中,用杀毒软件也不能有效清除,在遇到这种情况时,只有重新安装操作系统才能解决。
4、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
5.不要随便共享文件和文件夹,即使要共享,应先设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制权限。
6.不要随便登录不明网站。
7.使用光盘、软盘进行数据交换前,先对其进行病毒检查。
8.做好系统和重要数据的备份,以便能够在遭受病毒侵害后及时恢复。
【强制措施】
此次出现的木马病毒不仅会影响自己的上网和信息安全,还会波及本局域网内的所有电脑,对网络运行和信息安全构成严重的威胁。请各位上网师生务必行动起来,并请相互告知。
强制措施:由于该病毒影响了一个网段内用户的正常上网,保证该网段内其他机器正常上网,我们一旦查到病毒机器,网管中心将停用该机器的上联交换机端口,如果发现该机器是恶意的攻击,我们将扣除其校园网帐号上所有的余额。敬请谅解!
请各位网络用户注意自己的电脑是否存在时断时续、网络速度慢等异常现象!
【解决办法】
请各网络用户(尤其是完全不能上网的用户)请执行下列步骤:
A、请根据各用户所处的楼宇网段执行相关的网关ARP修复程序。执行步骤如下:
(1)、打开开始菜单
(2)、点击“运行”
(3)、在弹出的对话框中输入“cmd”,并回车
(4)、在接下来弹出的对话框中输入下面的命令:
arp -d
arp -s 你的电脑中设置的默认网关值 00:04:96:10:49:20
使用示例1(以18#公寓用户为例):
arp -d
arp -s 218.196.204.129 00:04:96:10:49:20
使用示例2(以指挥部用户为例):
arp -d
arp -s 218.196.205.193 00:04:96:10:49:20
具体的网关值请参考下表:
楼宇 | 地址范围 | 默认网关 |
1#、2#、3#学生公寓 | 218.196.196.2-254 | 218.196.196.1 |
218.196.204.66-94 | 218.196.204.65 | |
4#、5#学生公寓 | 218.196.201.2-254 | 218.196.201.1 |
16#学生公寓 | 218.196.199.2-254 | 218.196.199.1 |
218.196.192.66-126 | 218.196.192.65 | |
218.196.204.98-126 | 218.196.204.97 | |
17#、18#学生公寓 | 218.196.204.130-254 | 218.196.204.129 |
指挥部 | 218.196.205.194-206 | 218.196.205.193 |
B、安装木马杀客或趋势科技TSC等ARP病毒专杀工具进行查杀ARP病毒。专杀软件下载后,阅读使用说明,先升级后,然后断开网线连接对整个系统进行查杀。
C、安装2007ARP病毒免疫补丁和微软ARP补丁,按照说明文件运行,保证网络正常。
D、安装Anti ARP Sniffer保护本地计算机正常运行。安装配置前,请先查看使用说明。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上的Antiarp.exe快捷方式拷贝到"启动"中,以保证下次开机自动运行,起到保护的作用。
E、安装网关修复程序,仔细阅读使用帮助,按照提示操作。
