近一个时期,校园网用户计算机感染ARP欺骗木马病毒的数量又呈大面积上升趋势,ARP病毒严重侵袭校园网,导致校园网用户无法正常访问网络。为此,网络中心特开辟“ARP基本工作原理及如何防范ARP欺骗木马”专栏,旨在提高广大校园网用户防范意识,营造良好的网络环境。
一、ARP欺骗木马病毒攻击校园网现状
根据网络中心每日监测所得平均数据,同济校区平均每日感染ARP木马病毒的用户数都在15~30户之间,范围涉及办公区、教师宿舍区、学生宿舍区等各网段。
1.何谓ARP病毒?
ARP地址欺骗类病毒(简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。
2.ARP病毒发作时的现象及危害
网络掉线,但网络连接正常,整个网段内部分计算机不能上网,或者所有计算机无法正常上网,无法打开网页或打开网页慢,访问页面时常常弹出广告窗口,局域网时断时续并且网速较慢等。
网络异常、IP冲突;数据窃取、个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等);数据篡改(如访问的网页被添加了恶意内容,俗称“挂马”);非法控制(如某些网页打不开、某些网络应用程序用不了)。
二、ARP基本原理及攻击现象
1.什么是ARP?
ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层通信协议,工作在互联网通信模型的第二层,在本层和网络硬件设备接口之间进行通信联系,同时对上层(网络层)提供服务。
二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是常说的MAC地址)传输以太网数据包。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。
那么,我们如何查看计算机所学习的ARP地址呢:点击“开始”按钮,点击“运行”输入 CMD 执行;在Windows操作系统命令行窗口中输入"arp -a"命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系,如下图所示:
图中:192.168.202.128表示自己的计算机IP地址;
192.168.202.1表示本地区网段上级网关IP地址,00-50-56-c0-00-08 表示该网关的物理地址;
192.168.202.2 表示本网段某计算机的IP地址, 00-50-56-f5-66-4b 表示该计算机的物理地址
192.168.202.254 表示本网段另一台计算机的 IP地址, 00-50-56-c8-cd-2b 表示该计算机的物理地址。
如果本地区网段(即楼栋某个单元),感染了ARP病毒,在Windows操作系统命令行窗口中输入"arp -a"命令可查看到计算机(192.168.202.254)的物理地址与上级网关的物理地址相同 ,如下图所示:
此状况表示IP地址为192.168.202.254的计算机带有ARP病毒,它用自己的物理地址(00-50-56-c8-cd-2b)仿冒了真正的网关192.168.202.1的物理地址00-50-56-c0-00-08。
如何发现ARP病毒攻击:
arp病毒是木马程序利用arp协议漏洞,仿冒网关,对同ip段计算机进行网络通信阻断攻击的病毒。以下是在命令行窗口中输入"arp -a" 命令查看到本机当前的ARP缓存表和常用防ARP病毒攻击的监测软件对本地区网段发生ARP病毒报警提示:
1.瑞星ARP防火墙拦截到的arp攻击:
图中提示--- 本地区网段网关192.168.146.1的正确物理地址应该是:00-D0-F8-FA-33-15。 而00-14-78-3B-D8-68是带毒计算机的物理地址。可将此地址报网络中心值班人员处理。
2.360 ARP防火墙拦截到的arp攻击:
图中提示--- 本地区网段(即楼栋某个单元),感染了ARP病毒的计算机IP地址是:192.168.146.60,其物理地址为:00-14-78-3B-D8-68。
如有其他情况,360 ARP防火墙的历史记录中会有提示,如下图:
3. 金山ARP防火墙拦截到的arp攻击:
图中提示---本地区网段网关192.168.146.1的正确物理地址应该是:00-D0-F8-FA-33-15。
而00-14-78-3B-D8-68是带毒计算机的物理地址,其IP地址为:192.168.146.60。可将此地址报网络中心值班人员处理。
4.“ARP终结者”防火墙拦截到的arp攻击:
图中提示---本地区网段网关192.168.146.1的正确物理地址应该是:00-D0-F8-FA-33-15。 而00-14-78-3B-D8-68是带毒计算机的物理地址(没有指示其对应的IP地址)。可将此地址报网络中心值班人员处理。
清除arp病毒:
由于arp病毒是木马程序,有很多的变种并可挂接到很多程序,由于篇幅有限这里不便一一说明。
一般由搜索软件感染传播。(可在本机的C:\Program Files\下寻找 cnnic、zsearch、wsearch、netsearch、inds如果发现请卸载这些程序。)
ARP病毒的防范:
一、受到影响,可先尝试以下操作:
1、查杀病毒源。对病毒源头的计算机进行杀毒或重新装系统。并安装arp终结者。
此操作非常重要,解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。
(可从学校网页,病毒专题,http://www.tjmu.edu.cn/BDZT)下载安装arp终结者软件该软件设置网关保护:先双击打开右下角的A字图标,
按开始 —→运行 —→ arp –d —→ 确定,然后循序设置,如下图所示:
该软件设置开机启动:
顺序设置。)
2、安装杀毒软件,经常更新杀毒软件(每周至少一次更新病毒库)扫描机器进行病毒。
(例:学校下载的瑞星安装文件解压后得到 Rav2008.exe文件,双击安装。升级后、杀毒)
3、给系统安装补丁程序,通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)。盗版Windows-sp2用户不能从网上安装补丁,可到www.tjmu.edu.cn网站的病毒专题中去下载补丁包安装。也可以用安全软件来检测系统漏洞并安装系统补丁。安装完后开启本地连接防火墙。
(例如:瑞星卡卡助手可到www.rising.com.cn下载运行桌面上的瑞星卡卡上网安全助手点击“一键搞定”即可安装补丁程序。
)
4、安装并使用网络防火墙软件,(网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。)如果没有防火墙软件,可使用Windows自带的防火墙。
(本地连接防火墙开启方法:右键点网上邻居 —→ 属性 —→ 右键点本地连接 —→ 属性 —→ 高级 —→ 设置 —→ 启用 —→ 确定)
5、关闭机器中的不常用的网络协议及网络共享。
(本地连接防火墙开启方法:右键点网上邻居 —→ 属性 —→ 右键点本地连接 —→ 属性,将网络的文件和打印机共享前的勾去掉)
6、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
二、重装系统严格按以下操作进行
1、先下载好瑞星杀毒软件和瑞星卡卡助手程序
(可从学校网页,病毒专题,http://www.tjmu.edu.cn/BDZT下载,也可由瑞星网站下载www.risingcom.cn。也可下载其它防护软件)
2、断开网线
(如果网络畅通,新装系统是存在很多漏洞的,病毒会由这些漏洞攻击系统)
3、用光盘安装新的系统,并开启本地连接防火墙。
(本地连接防火墙开启方法:右键点网上邻居 —→ 属性 —→ 右键点本地连接 —→ 属性 —→ 高级 —→ 设置 —→ 启用 —→ 确定)
4、安装杀毒软件和补丁程序
(学校下载的瑞星安装文件解压后得到 Rav2008.exe文件,双击安装。)
5、接好网线,升级杀毒软件,打好系统补丁。
(瑞星杀毒软件升级:双击右下角伞型图标,点窗口中的升级按键
运行桌面上的瑞星卡卡上网安全助手点击“一键搞定”即可安装补丁程序。)
6、下载arp终结者,并安装。参见前文“ ARP病毒的防范 ”的第一段1小节。
