关于防范ARP欺骗木马程序(病毒)攻击的公告

2006年08月02日 

   近一段时间以来,用户反映网络时断时续,而且这种情况遍及全校范围。通过网络中心技术人员深入分析,发现原因为部分校园网用户受到一种名为ARP欺骗木马程序(病毒)的攻击。该病毒发作后,电脑将会出现网上速度变慢甚至断开。为了清除木马病毒,恢复网络的正常运行,现将有关事项通知如下:

  一、病毒原理

  该病毒主要通过 ARP (ARP是“Address Resolution Protocol”“地址解析协议”的缩写)欺骗实施破坏行为。 ARP 欺骗分两种,一种是对路由器 ARP 表的欺骗;另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是-截获网关数据。它通知路由器一系列错误的内网 MAC 地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送错误的 MAC 地址,造成正常的 PC 无法收到信息。第二种 ARP 欺骗原理是-通过交换机的 MAC 地址学习机制,伪造网关。它的原理是建立假的网关,让被它欺骗的 PC 向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有 PC 无法访问网络。经查,我校电脑无法上网,基本属于第二种情况。

  二、查杀办法

  计算机上网速度比较慢甚至断开网络的用户,可以用以下方法确认是否已经中ARP 欺骗木马病毒。
   1。检查方法:“开始”—>“运行”(如图1)—> 键入“cmd”(如图2)—> 在cmd命令窗口中键入“arp -a” —>查看计算机网关地址所对应的物理地址是否为“00-14-f2-54-cd-80”(如图3)。若不是“00-14-f2-54-cd-80”,则表明您的计算机已受ARP 欺骗木马程序(病毒)攻击 。


图1

图2

图3

各楼中计算机所对应的网关地址:
行政楼--210.33.117.7   远教楼--210.33.119.7   远教楼裙楼--10.100.121.7
电教楼--210.33.118.135   教学楼--210.33.118.7


   2。解决方法:在cmd命令窗口键入 “arp –s 网关地址 00-14-f2-54-cd-80”命令,按“回车”便可上网,如图4。


图4


  
  三、预防措施

   1、校园网用户要增强网络安全意识,不要轻易下载存在安全隐患的软件,不要浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。

   2、校园网计算机用户要及时更新操作系统补丁程序,安装杀毒软件、木马专杀工具(如windows木马清道夫等),增强个人计算机防御计算机病毒的能力。

   更新操作系统补丁程序步骤为:点击“开始”菜单—>“windows update”,网页便自动搜索您的计算机中所缺少的系统补丁,按“确定”后便自动安装。

  四、友情提示

  为了您的计算机甚至整个校园网顺畅地运行,请各位教职工积极做好电脑病毒的预防工作。发现网络时断时续的现象,您可按照上述查杀方法自行解决,也可与网络中心(88823514)联系。