周一鳴

摘 要：ARP病毒、蠕蟲病毒為兩種常見的網(wǎng)絡(luò)病毒，我校校園網(wǎng)前段時(shí)間這兩種病毒同時(shí)發(fā)作，嚴(yán)重地影響了正常的教學(xué)秩序。本文以此案例為切入點(diǎn)，就病毒的特征表象展開剖析，提出了通過(guò)網(wǎng)絡(luò)設(shè)備檢測(cè)所獲得的各類反饋信息進(jìn)行這兩種病毒的快速防治。

關(guān)鍵詞：網(wǎng)絡(luò)設(shè)備；ARP病毒；蠕蟲病毒；快速

1.引言

隨著網(wǎng)絡(luò)應(yīng)用的日漸廣泛，網(wǎng)絡(luò)病毒和攻擊形式也日趨多樣，校園網(wǎng)的安全問(wèn)題日益突出，我校前段時(shí)間校園網(wǎng)頻頻斷網(wǎng)，服務(wù)器受到攻擊，許多教師的電腦無(wú)法進(jìn)行病毒庫(kù)的升級(jí)……經(jīng)查是受到兩種常見網(wǎng)絡(luò)病毒：ARP病毒、蠕蟲病毒的同時(shí)攻擊，后成功完成故障排除。筆者以此案例為切入點(diǎn)，從校園網(wǎng)結(jié)構(gòu)、硬件配置開始，暢述了利用網(wǎng)絡(luò)設(shè)備各類檢測(cè)信息進(jìn)行這兩種病毒快速診斷、病毒源的快速定位，快速?gòu)?fù)網(wǎng)的措施，并提出了利用網(wǎng)絡(luò)設(shè)備進(jìn)一步構(gòu)建有效的防御機(jī)制。

2.案例再現(xiàn)

2.1 校園網(wǎng)網(wǎng)絡(luò)拓樸結(jié)構(gòu)：（其中宿舍樓未配置，不能聯(lián)網(wǎng)）

2.2 主要網(wǎng)絡(luò)設(shè)備情況：

主干交換機(jī)：主干交換機(jī)均選擇Catalyst2948GL3；樓寓交換機(jī)：CISCO Catalyst 3524/3548；樓層交換機(jī)：CISCO Catalyst 3524；網(wǎng)絡(luò)出口設(shè)備：CISCO HiPER 2620，服務(wù)器：聯(lián)想T168G7系列，實(shí)驗(yàn)樓PC機(jī)定型：聯(lián)想系列。

2.3 校園網(wǎng)采用的操作系統(tǒng)

服務(wù)器：Windows Server 2003 企業(yè)版，裝有單機(jī)正式殺毒軟件；PC機(jī)多為Windows XP/7.0。

2.4 校園網(wǎng)故障情況

最初網(wǎng)絡(luò)訪問(wèn)時(shí)斷時(shí)續(xù)，掉線頻繁，網(wǎng)絡(luò)訪問(wèn)速度越來(lái)越慢，辦公樓大部分上網(wǎng)電腦無(wú)法正常連接網(wǎng)絡(luò)，但殺毒之后再次出現(xiàn)，能連網(wǎng)的機(jī)器不能升級(jí)病毒庫(kù)，360等官方網(wǎng)站不能正常啟動(dòng)……教學(xué)辦公次序一片混亂。

學(xué)校要求網(wǎng)管中心和計(jì)算機(jī)教師配合盡快診斷為何種故障，要求盡快處理，并恢復(fù)正常教學(xué)秩序。

3.利用網(wǎng)絡(luò)設(shè)備對(duì)校園網(wǎng)故障處理

3.1 利用網(wǎng)絡(luò)設(shè)備快速診斷

根據(jù)校園網(wǎng)故障特征，初步懷疑是ARP病毒，為了確診是否為ARP病毒，做如下測(cè)試：查看網(wǎng)絡(luò)設(shè)備路由器的“系統(tǒng)歷史記錄”和檢查最先出現(xiàn)問(wèn)題的辦公大樓用戶PC機(jī)。兩項(xiàng)檢查基本斷定有ARP欺騙類型的木馬病毒。

3.2 利用網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)病毒源快速定位

校園網(wǎng)內(nèi)有五個(gè)網(wǎng)段，近3000個(gè)信息點(diǎn)，必須快速找到病毒源機(jī)，具體操作如下：

步驟一：在受影響的用戶電腦中查詢一下當(dāng)前網(wǎng)關(guān)的MAC地址，查詢命令為 ARP -a（需要在cmd命令提示行下輸入）。

步驟二：找出病毒源的MAC地址所對(duì)應(yīng)的IP地址。在一臺(tái)客戶機(jī)上運(yùn)行路由跟蹤命令如：tracert www.google.com ，可以發(fā)現(xiàn)第一條不是網(wǎng)關(guān)的IP地址，再下一跳才是網(wǎng)關(guān)IP地址。

步驟三：找到這個(gè)IP 地址具體對(duì)應(yīng)的機(jī)子。由于本校除教學(xué)樓、實(shí)驗(yàn)樓外，其他各區(qū)的IP地址是動(dòng)態(tài)獲取，這給尋查病毒源IP所對(duì)應(yīng)的機(jī)器帶來(lái)了一定的困難。

3.3 單獨(dú)對(duì)病毒源機(jī)做徹底地清除。

對(duì)病毒源機(jī)斷網(wǎng)單獨(dú)作處理時(shí)，發(fā)現(xiàn)病毒如下：G_Server2.0.exe、okserver.exe、VKTServ.exe、winsmd .exe、WORM_RBOT.EOB蠕蟲病毒。對(duì)此病毒源機(jī)做重裝系統(tǒng)處理。

3.4 復(fù)網(wǎng)工作

1.下載Windows蠕蟲病毒專殺定制工具對(duì)全網(wǎng)進(jìn)行掃描殺毒，并安排計(jì)算機(jī)老師分組負(fù)責(zé)各網(wǎng)段，對(duì)教學(xué)區(qū)、圖書館上網(wǎng)速度仍較慢的用戶PC機(jī)進(jìn)行一鍵還原、實(shí)驗(yàn)樓各機(jī)房實(shí)行系統(tǒng)重傳。對(duì)病毒源所在的辦公樓用戶進(jìn)行數(shù)據(jù)備份、重點(diǎn)查殺。

2. 立即根據(jù)用戶的操作系統(tǒng)版本下載微軟MS06-014和MS07-017兩個(gè)系統(tǒng)漏洞補(bǔ)丁程序，將補(bǔ)丁程序安裝到局域網(wǎng)絡(luò)中存在這兩個(gè)漏洞的計(jì)算機(jī)系統(tǒng)中，防止病毒變種的感染和傳播。

3. 所有各網(wǎng)段PC機(jī)上綁定網(wǎng)關(guān)的IP和MAC地址。

編寫一個(gè)批處理文件 arap.bat內(nèi)容如下：

@echoff

Arp-d

Arp-s 網(wǎng)關(guān)ip地址 網(wǎng)關(guān)Mac地址

將這個(gè)批處理軟件添加PC機(jī)的啟動(dòng)項(xiàng)中。

4.利用網(wǎng)絡(luò)設(shè)備構(gòu)建兩種常見病毒的防范機(jī)制

校園網(wǎng)恢復(fù)上網(wǎng)之后，我們意識(shí)到校園網(wǎng)的病毒防范措施還得進(jìn)一步加強(qiáng)，必須充分利用網(wǎng)絡(luò)設(shè)備硬件，構(gòu)建起更為有效的防范機(jī)制：

1. 利用上網(wǎng)行為管理設(shè)備

在病毒的防范中我們采用的是單機(jī)版殺毒軟件，通過(guò)配置網(wǎng)絡(luò)和單機(jī)防火墻軟件，禁止了教學(xué)樓、實(shí)驗(yàn)樓除服務(wù)端口外的其他端口，這切斷了計(jì)算機(jī)蠕蟲病毒的網(wǎng)絡(luò)傳輸通道和通信通道，可以有效防御蠕蟲病毒。但是由于蠕蟲病毒的行為同一般的網(wǎng)絡(luò)應(yīng)用有很大的相似性，因此防火墻技術(shù)不可避免的導(dǎo)致某些正常的網(wǎng)絡(luò)應(yīng)用也被封堵，教學(xué)樓、實(shí)驗(yàn)樓外的其他區(qū)域未進(jìn)行端口禁止。為了有效解決這一矛盾沖突，更好地實(shí)現(xiàn)立體防御，決定采用上網(wǎng)行為管理設(shè)備，結(jié)合一般的網(wǎng)絡(luò)版殺毒軟件進(jìn)行配合加以防范。

2.運(yùn)用基于MAC的VLAN

在校園網(wǎng)中建立基于MAC的VLAN，每一個(gè)交換機(jī)端口只連接一個(gè)終端，根據(jù)不同的應(yīng)用業(yè)務(wù)以及安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，控制廣播組的大小和位置，當(dāng)網(wǎng)絡(luò)出現(xiàn)未定義的 MAC地址，交換機(jī)可按預(yù)先設(shè)定的方式報(bào)警。

3.采用 NETFLOW

NetFlow 是Cisco 公司在其 IOS 網(wǎng)絡(luò)操作系統(tǒng)交換體系中引入的一種新的交換技術(shù)，針對(duì)路由器送出的NetFlow數(shù)據(jù)，可以利用NetFlow數(shù)據(jù)采集軟件獲取詳細(xì)的數(shù)據(jù)流統(tǒng)計(jì)信息并能進(jìn)行進(jìn)一步的分析和處理。由于蠕蟲傳播過(guò)程中會(huì)發(fā)起大量的掃描連接，所以對(duì) NetFlow 數(shù)據(jù)流進(jìn)行統(tǒng)計(jì)分析，可以很容易地發(fā)現(xiàn)蠕蟲的掃描行為進(jìn)而采取相應(yīng)措施，隔斷其感染途徑。

5.總結(jié)

從計(jì)算機(jī)病毒的發(fā)展來(lái)看，計(jì)算機(jī)病毒的攻擊和防御都在發(fā)展，未來(lái)的計(jì)算機(jī)病毒將會(huì)更智能化，復(fù)雜化，對(duì)網(wǎng)絡(luò)的影響和危害將長(zhǎng)期存在；校園網(wǎng)對(duì)病毒的防御將更加困難。在防御上，已經(jīng)不再是由單獨(dú)的殺毒廠商，所能夠解決的。而需要網(wǎng)絡(luò)安全公司，系統(tǒng)廠商，網(wǎng)絡(luò)設(shè)備廠商，防病毒廠商及用戶共同參與，構(gòu)筑全方位的防范體系，校園網(wǎng)的病毒防御將任重而道遠(yuǎn)。（作者單位：邗江中等專業(yè)學(xué)校）

參考文獻(xiàn)：

[1] 圖書——馬建峰，劉淵博.計(jì)算機(jī)系統(tǒng)安全[M].西安電子技大學(xué)出版社，2005

[2] 圖書——韓筱卿，王建鋒，鐘 瑋.計(jì)算機(jī)病毒分析與防范大全（第2版）.電子工業(yè)出版社，2008