arp病毒介绍及处理.

关于电白县教育网的几个问题关于电白县教育网的几个问题一、网络规划与现状教育城域网网站系统电白县教育城域网应用系统办公自动化系统虚拟主机与主页空间管理系统网上虚拟社区系统大容量电子邮件系统教育资源管理系统教育教研管理系统招生考试管理系统视频直播点播系统交互式远程会议系统远程教育系统互联网教育局网络信息中心交换机电城中学服务器服务器电白一中电信局杨梅小学电海中学陈村镇服务器防火墙100M上网专线服务器服务器3、城域网拓朴示意图城域网的实现三、网络掉线问题1、物理链路问题2、arp欺骗关于电白县教育网的几个问题3、其它原因•ARP欺骗的种类•1、人为攻击•2、病毒•3、木马中招现象校园网某些网段有时断时通的现象，掉包率很高，不能上网的机器重启恢复正常，但可能一会又不行。网络信息中心经过仔细排查，确认是这些网段中有部分机器感染了“arp欺骗”类的病毒/木马。一个网段中只要有一台主机感染这类病毒，可以造成整个网段的机器通信异常。欺骗原理当某台主机中了这类ARP欺骗的病毒/木马程序后，会不定期发送仿冒的ARP响应数据报文。这种报文会欺骗所在网段的主机、交换机路、由器网关，让其他用户上网的流量必须经过病毒主机。由于中毒主机本身发送大量的数据报文造成拥塞以及自身处理能力的限制，其他用户上网就会表现出频繁中断的现象。由于这类病毒/木马可能产生多种变种或者与其他代码形成混合体，不同的防病毒软件报告的病毒名称亦有所不同。外部网络三层交换机网关交换机交换机交换机交换机交换机交换机病毒特征•:1、生成病毒文件病毒运行后，在系统目录%System%下自己拷贝生成病毒文件，文件的名称是可变，根据不同的变种相应有不同的名称。（其中，%System%为C:WindowsSystem(Windows95/98/Me),C:WinntSystem32(WindowsNT/2000),orC:WindowsSystem32(WindowsXP)）•2、修改注册表病毒对注册表进行修改，在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices中添加键值=%System%（其中，和为可变的），使得在下次系统启动时，病毒可随之自动运行。•3、盗取密码病毒试图登陆并盗取被感染计算机中网络游戏LegendofMir2的密码，将游戏密码发送到该木马病毒的植入者手中。•4、阻止安全软件的运行病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。risingSkyNetSymantecMcAfeeGateRfw.exeRavMon.exekillNAV在三层网关上检测到的冲突%Sep2406:51:022006DBEDU_JYJ_S6506_AARP/5/DUPIP:Slot=0;IPaddress172.16.130.114collisiondetected,sourcedby00e0-4da1-c9a9onGigabitEthernet1/0/4ofVLAN632and00e0-4da3-967aonGigabitEthernet1/0/4ofVLAN632%Sep2406:51:022006DBEDU_JYJ_S6506_AARP/4/DUPIFIP:Slot=0;Duplicateaddress172.16.130.1onVLAN632,sourcedby00e0-4da1-c9a9%Sep2406:51:022006DBEDU_JYJ_S6506_AARP/5/DUPIP:Slot=0;IPaddress172.16.130.192collisiondetected,sourcedby00e0-4da1-c9a9onGigabitEthernet1/0/4ofVLAN632and0016-ec31-3d79onGigabitEthernet1/0/4ofVLAN632%Sep2406:51:032006DBEDU_JYJ_S6506_AARP/4/DUPIFIP:Slot=0;Duplicateaddress172.16.130.1onVLAN632,sourcedby00e0-4da1-c9a9%Sep2406:51:032006DBEDU_JYJ_S6506_AARP/4/DUPIFIP:Slot=0;Duplicateaddress172.16.130.1onVLAN632,sourcedby00e0-4da1-c9a9%Sep2406:51:042006DBEDU_JYJ_S6506_AARP/4/DUPIFIP:Slot=0;Duplicateaddress172.16.130.1onVLAN632,sourcedby00e0-4da1-c9a9%Sep2406:51:042006DBEDU_JYJ_S6506_AARP/4/DUPIFIP:Slot=0;Duplicateaddress172.16.130.1onVLAN632,sourcedby00e0-4da1-c9a9MAC地址为00eo-4da1-c9a9电脑的真实IP为172.16.130.20同一个MAC地址对应多个IP地址•IP地址MAC地址VLAN•172.16.130.100e0-4da1-c9a9632•172.16.130.2000e0-4da1-c9a9632•172.16.130.2800e0-4da1-c9a9632•172.16.130.3800e0-4da1-c9a9632•172.16.130.11400e0-4da1-c9a9632•172.16.130.19200e0-4da1-c9a9632网关IP中毒电脑IPArp欺骗处理目前还没有高效彻底解决这一问题的方法。1、做好安全措施，预防中毒；2、及时找到病毒中机，清理病毒；3、在主机上捆绑网关IP和网关MAC地址；4、在安全网关上绑定用户IP与MAC；5、接入层交换机如果是网管交换机，做ACL访问规则，封掉上行ARP（0806）欺骗包做好安全防护1、及时安装补丁程序。通过WindowsUpdate安装好系统补丁程序(关键更新、安全更新和ServicePack2、给系统管理员帐户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合；也可以禁用/删除一些不使用的帐户3、经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件，4、关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。查找病毒主机1、每一台上网主机改名（用实名或学校统一规划）2、全部用自动IP，不要设固定IP3、填好上网用户信息登记表做好这几样工作，信息中心就能在第一时间找到肇事主机，通知机主处理电脑改名1、右键单击2、单击3、改名自动获取IP1、右键单击，选“属性”2、右键单击，选“属性”3、选中，按“属性”4、选“自动”信息登记表电白县教育网用户信息登记表学校用户名计算机名MAC地址电话号码如何绑定网关IP与MAC1、执行IPCONFIG，确定本机属于那个网段cmdIpconfig/allMAC地址2、登陆把“电海中学”目录下相应的ARP.bat文件拷到下面的目录下电海中学有3个VLAN，IP为16.18.20三段。用户IP可能为172.16.16.X（学生）172.16.18.X（办公）172.16.20.X（家庭）根据你的不同的IP段，选择相应的ARP.bat文件：16arp.bat、18arp.bat、20arp.bat