关于校园网ARP病毒防治的解决办法.docVIP

关于校园网ARP病毒防治的解决办法 近期学校的局域网爆发一种新的“ARP欺骗”木马病毒（Address Resolution Protocol 地址解析协议），病毒发作时其症状表现为计算机网络连接正常，能登陆成功却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致网络运行不稳定，频繁断网、IE 浏览器频繁出错以及一些常用软件出现故障等问题，极大地影响了校园网用户的正常使用。为了保证校园网络的安全畅通，现将有关事项公告如下： 一、故障现象及原因分析 情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：这一段）所有主机发送ARP欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病毒主机上网。由于病毒发作时发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。此时病毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网络时断时续。 情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。 二、故障诊断 假如用户发现以上疑似情况，可以通过如下操作进行诊断： (1)点击“开始”按钮—选择“运行”—输入“arp –d”—点击“确定”按钮，然后重新尝试上网，假如能恢复正常，则说明此次掉线可能是受ARP欺骗所致。 (2)同时按住键盘上的“ ctrl ”和“ alt ”键再按“ del ”键，选择“任务治理器”，点选“进程”标签。察看其中是否有一个名为“ vktserv.exe ”的进程。假如有，则说明已经中毒。 三、故障处理 1、中毒者： (1)下载360卫士ARP防火墙，下载地址：/down/soft_down11.html） (2)在进程中假如有“vktserv”进程，右键点击此进程后选择“结束进程”，然后在c:\windows\system32路径找到vktserv.exe文件删除，在“控制面板”-“治理工具”-“服务”中，找到vktserv服务禁用，重起机器。 (3)建议使用趋势科技ARP专杀工具或其他杀毒软件清除病毒。趋势ARP专杀工具的下载地址/TSC_.rar下载后解压缩，运行TSC.exe文件，不要关让它一直运行完毕。然后可查看report目录内的log文档了解病毒清除情况。 2、受害者： (1)假如已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网， 注：arp -d命令用于清除并重建本机arp表。arp –d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。 (2)假如已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC,但系统重启后失效. (3)使用AntiArpSniffer软件抵御ARP攻击。 AntiArpSniffer的下载地址/AntiARP4.0beta4.zip。 下载后解压缩，运行AntiArp。输入本网段的网关ip地址后，点击“获取网关MAC地址”，检查网关IP地址和MAC地址无误后，点击“自动保护”。若不知道网关IP地址，可通过以下操作获取：点击开始按钮—选择“运行”—输入cmd点击“确定”—输入ipconfig按回车，“本地连接”中“Default Gateway”后的IP地址就是网关IP地址。AntiArp软件会在提示框内出现病毒主机的MAC地址。建议受害者积极向网络中心举报，以便网络中心采取针对性措施进行处理。 3、可正常上网的用户： 打ARP病毒免疫补丁,下载地址/arp_buding.rar 目前尚未有方法可以使电脑免疫所有arp病毒，网络中心建议用户安装防病毒软件并更新到最新版本，可有效降低中毒的机率。 注重：目前的计算机防病毒软件只能避免自己电脑主机感染ARP病毒，但无法抵御同网段中其它已感染ARP病毒的计算机的攻击。 四、入网日常安全守则 1、校园网并不比互联网安全。校园网是互联网的组成部分。校园网内用户并非全部安全可靠，甚至依仗内网的速度优势，校园网更容易成为病毒传播的温床，也给攻击你的黑客带来便利。 2、设置足够强劲的密码。脆弱的密码是给别人开设的方便之门。正在用电脑的也许不只是坐在显示器前的您。 3、及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库。（