关于ARP病毒及病毒防护的通知

关于ARP病毒及病毒防护的通知
新闻发布:网络中心    发布时间:2006-11-25
校园网各位用户：
自今年 3 月中旬以来， “ARP 欺骗”类病毒（木马）在校园网内屡有发现，最近一段时间某些网段尤其严重，具体表现为上网时频繁掉线或是断线，约几分钟后会自动恢复或重起计算机后又可恢复上网。引起上述掉线的原因是，网段内某台计算机感染的病毒所引起的，该病毒与校园网用户PC机从非授权代理服务器（或网页）上下载携带有病毒的软件行为有关。
一、故障现象
中毒的计算机会修改网关IP地址或用户计算机的网卡MAC地址为中毒机器网卡的MAC地址，在用户计算机进入dos命令窗口，用arp –a命令有时可以看到两条或两条以上的MAC记录。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户又可恢复正常上网。
近期已有很多高校或单位的局域网中了这种病毒的攻击。具体有两种典型情况：
1、中毒的源机器会把同网段的其他机器的MAC修改成了跟它一样的MAC。在路由器上查看arp表，会发现很多不同ip对应同一MAC的情况。
2、中毒的源机器把网关的MAC修改成了自己的MAC或伪造出一个假的网关MAC。其他机器误以为它是网关，数据都发送给它（用于盗取各类密码）。
两种情况都会造成网速变慢、掉线、网络中断。
二、解决方法
1、使用由信息与网络中心提供的正版瑞星杀毒软件，下在地址：http://inc.hubu.edu.cn/antivirus.aspx，下载并安装客户端软件（输入正确的中心IP地址202.114.144.27）。我校使用的瑞星杀毒软件（网络版）可实现自动升级，全网定时杀毒。
2、校园网计算机用户要及时下载和更新操作系统的补丁程序（教育网快速下载补丁设置帮助视频），启用Windows防火墙（帮助视频），增强个人计算机防御计算机病毒的能力。据了解现在这个arp欺骗病毒，它不会通过系统漏洞自动传播，大部分病毒是可以通过浏览器进到个人系统中。所以必须下载和更新操作系统的补丁程序特别是IE补丁。
3、提醒用户不要轻易下载、使用盗版和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页）；不要随便点击打开 QQ 、 MSN 等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。
4、安装“彩影网盾”（点击下载http://inc.hubu.edu.cn/SOft/HBAntiARP2.rar）防ARP攻击软件，“彩影网盾”是我中心原推荐Anti ARP Sniffer软件的升级版，新版本具有防御、监控ARP攻击的软件平台,通过部署“彩影网盾”能自动对虚假的ARP数据进行拦截并找出攻击源，能彻底防御所有利用ARP技术的程序。软件核心部分完全嵌入在操作系统驱动层。具体步骤如下：
（1）下载并运行AntiARPClient.exe（本软件在不断更新，请随时关注）；
（2）初始化完成之后将会出现欢迎安装界面，单击“下一步”开始安装“彩影网盾”；
（3）请仔细阅读许可协议，阅读完成之后请点击“我同意该许可协议的条款”以使安装程序继续；
（4）安装结束之后会弹出安装完毕确认窗口，单击“完成”按钮确认并关闭窗口。
（5）安装完成之后，请安装驱动程序用来拦截虚假的ARP数据包，请点击“仍然安装”确保程序的正常运行，否则部分功能失效。
*请连续四次点击按钮“仍然继续”（见图1），然后点击“彩影网盾”“确定”按钮（见图2）。否则软件防虚假数据拦截功能会失效。

（图1）

（图2）
（6）配置网关IP（家属区和学生公寓网关ip地址附后），点击“获取”网关MAC地址，配置服务端IP地址172.17.1.237。然后点击“确定”（见图3、4）；

（图3）

（图4）
家属区网关IP地址：
家属区1、5区   59.68.77.2
家属区2区      59.68.76.2
家属区3区      59.68.75.2
家属区4区      59.68.73.2
忠诚公寓：     59.68.78.2
一期学生公寓网关IP地址：
学生一期A栋、B栋       59.68.72.2
二期学生公寓网关IP地址：
学生二期A栋、B栋       59.68.71.2
学生二期C栋、D栋       59.68.70.2
学生二期E栋、F栋       59.68.69.2
学生二期G栋、H栋       58.68.68.2
办公区与教学区计算机网关IP地址，可使用命令查看，具体方法见《校园网用户手册》第44、62页。
（7）配置完成之后运行客户端界面如下（见图5）：

（图5）
（8）如果连接服务端成功，将会显示以下界面，状态显示为“己保护”说明与服务端连接成功。如下图：

（图6）
客户端在受到ARP攻击时会显示自动累计防御攻击数量，本版本不支持拦截攻击数量的显示本，但功能没有任何限制，能够拦截虚假的ARP包。
注：上网认证用户需等待约12分钟才能显示“已保护”的状态。
5、我中心若监测到用户计算机在校园网上发送ARP病毒数据包，影响了校园网的安全，我中心将采取有效措施令其离线（断网）杀毒。
特此通知。
信息与网络中心
2006年11月20日
相关附件下载
没有相关附件或者已被删除!
--------------湖北大学网络中心--------------