尊敬的校园网用户:
近期以来,由于ARP欺骗病毒肆虐,影响了很多校园网用户的使用。ARP是“Address Resolution Protocol”(地址解析协议)的缩写。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。由于该协议存在某些缺陷,使得局域网中恶意的机器伪造IP地址和MAC地址来实现ARP欺骗。局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪,给用户造成了很大的不便和巨大的经济损失。ARP病毒机理复杂,一直以来缺乏有效的防治措施加以控制,在此,我们向大家介绍一下ARP病毒的防治手段,以期减少ARP病毒带来的影响。
一、如何判断机器中了ARP病毒
1、现象判断:该病毒发作时其症状表现为计算机网络连接正常,能登陆成功却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致网络运行不稳定,频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障。如发现电脑出现网速慢且突然不能上网,重新连接后又能上网,但过会还是掉线的反复现象,可以确定为机器中了ARP病毒。
2、通过如下操作进行判断:
点击“开始”按钮->选择“运行”->输入“arp-d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
二、ARP病毒的防治
一般来讲,防治ARP病毒经常采用两种技术手段,一是安装ARP病毒防治软件,二是将用户帐号列入黑名单或封禁用户上网端口。
安装ARP病毒防治软件,效果不完全理想,主要问题在于:
1、 防治ARP病毒软件必须强制部署在网络中每台PC机上,否则,只要遗漏一台感染ARP病毒的计算机,防护作用就失效,全网段仍旧无法正常上网;
2、 目前很多用户使用单机版的ARP病毒防治软件,最典型的是AntiARP软件, 除防御本机不受ARP病毒欺骗外,最大的作用是能够发现感染ARP病毒的计算机,及时向网络中心报告情况,加快封禁端口的效率。但若同网段有其他计算机感染ARP病毒,同样也无法正常上网;
3、 来自吉林大学、山东大学等兄弟院校的经验,AntiARP、瑞星等ARP防火墙软件存在技术缺陷,在启动某些主动防御功能时,反倒象ARP病毒那样向网络发送大量ARP数据包,导致用户上网缓慢,建议用户停止使用。
4、现在网上有一些免费的防ARP病毒的软件,大家可以选择使用。在原有防病毒软件基础上,网络中心推荐各用户添加奇虎360防病毒软件(请见附件)。安装奇虎360防病毒软件后,请在其“保护”菜单下把“局域网ARP攻击拦截”设置为开启状态。
三、中了ARP病毒后的处理
鉴于目前ARP病毒防治软件不完全成熟,中了ARP病毒后,各种防病毒软件或专杀工具很难完全清除,只有重装系统,并施加相关防护措施,才可以得到比较彻底的恢复。网络中心目前采用的主要技术措施是封禁感染ARP病毒的网络端口,待感染病毒主机技术整改后,再打开端口允许其上网,以减少ARP病毒对于其他用户的影响。
中毒后,请各用户按以下步骤处理:
1、格式化系统所有的硬盘,重新安装操作系统
2、连接网络,下载Windows补丁,安装防病毒软件
3、启动防病毒软件,查杀系统所有的硬盘
4、注意不要轻易运行来历不明的软件。建议定期维护机器。
处理完毕后,联系网络中心(电话8361303),请求解除封禁。
附件:360safe_skycnV4.0.3.1011_skycn.zip