周一鳴

摘 要：ARP病毒、蠕蟲病毒為兩種常見的網(wǎng)絡病毒，我校校園網(wǎng)前段時間這兩種病毒同時發(fā)作，嚴重地影響了正常的教學秩序。本文以此案例為切入點，就病毒的特征表象展開剖析，提出了通過網(wǎng)絡設備檢測所獲得的各類反饋信息進行這兩種病毒的快速防治。

關鍵詞：網(wǎng)絡設備；ARP病毒；蠕蟲病毒；快速

1.引言

隨著網(wǎng)絡應用的日漸廣泛，網(wǎng)絡病毒和攻擊形式也日趨多樣，校園網(wǎng)的安全問題日益突出，我校前段時間校園網(wǎng)頻頻斷網(wǎng)，服務器受到攻擊，許多教師的電腦無法進行病毒庫的升級……經(jīng)查是受到兩種常見網(wǎng)絡病毒：ARP病毒、蠕蟲病毒的同時攻擊，后成功完成故障排除。筆者以此案例為切入點，從校園網(wǎng)結構、硬件配置開始，暢述了利用網(wǎng)絡設備各類檢測信息進行這兩種病毒快速診斷、病毒源的快速定位，快速復網(wǎng)的措施，并提出了利用網(wǎng)絡設備進一步構建有效的防御機制。

2.案例再現(xiàn)

2.1 校園網(wǎng)網(wǎng)絡拓樸結構：（其中宿舍樓未配置，不能聯(lián)網(wǎng)）

2.2 主要網(wǎng)絡設備情況：

主干交換機：主干交換機均選擇Catalyst2948GL3；樓寓交換機：CISCO Catalyst 3524/3548；樓層交換機：CISCO Catalyst 3524；網(wǎng)絡出口設備：CISCO HiPER 2620，服務器：聯(lián)想T168G7系列，實驗樓PC機定型：聯(lián)想系列。

2.3 校園網(wǎng)采用的操作系統(tǒng)

服務器：Windows Server 2003 企業(yè)版，裝有單機正式殺毒軟件；PC機多為Windows XP/7.0。

2.4 校園網(wǎng)故障情況

最初網(wǎng)絡訪問時斷時續(xù)，掉線頻繁，網(wǎng)絡訪問速度越來越慢，辦公樓大部分上網(wǎng)電腦無法正常連接網(wǎng)絡，但殺毒之后再次出現(xiàn)，能連網(wǎng)的機器不能升級病毒庫，360等官方網(wǎng)站不能正常啟動……教學辦公次序一片混亂。

學校要求網(wǎng)管中心和計算機教師配合盡快診斷為何種故障，要求盡快處理，并恢復正常教學秩序。

3.利用網(wǎng)絡設備對校園網(wǎng)故障處理

3.1 利用網(wǎng)絡設備快速診斷

根據(jù)校園網(wǎng)故障特征，初步懷疑是ARP病毒，為了確診是否為ARP病毒，做如下測試：查看網(wǎng)絡設備路由器的“系統(tǒng)歷史記錄”和檢查最先出現(xiàn)問題的辦公大樓用戶PC機。兩項檢查基本斷定有ARP欺騙類型的木馬病毒。

3.2 利用網(wǎng)絡設備實現(xiàn)病毒源快速定位

校園網(wǎng)內有五個網(wǎng)段，近3000個信息點，必須快速找到病毒源機，具體操作如下：

步驟一：在受影響的用戶電腦中查詢一下當前網(wǎng)關的MAC地址，查詢命令為 ARP -a（需要在cmd命令提示行下輸入）。

步驟二：找出病毒源的MAC地址所對應的IP地址。在一臺客戶機上運行路由跟蹤命令如：tracert www.google.com ，可以發(fā)現(xiàn)第一條不是網(wǎng)關的IP地址，再下一跳才是網(wǎng)關IP地址。

步驟三：找到這個IP 地址具體對應的機子。由于本校除教學樓、實驗樓外，其他各區(qū)的IP地址是動態(tài)獲取，這給尋查病毒源IP所對應的機器帶來了一定的困難。

3.3 單獨對病毒源機做徹底地清除。

對病毒源機斷網(wǎng)單獨作處理時，發(fā)現(xiàn)病毒如下：G_Server2.0.exe、okserver.exe、VKTServ.exe、winsmd .exe、WORM_RBOT.EOB蠕蟲病毒。對此病毒源機做重裝系統(tǒng)處理。

3.4 復網(wǎng)工作

1.下載Windows蠕蟲病毒專殺定制工具對全網(wǎng)進行掃描殺毒，并安排計算機老師分組負責各網(wǎng)段，對教學區(qū)、圖書館上網(wǎng)速度仍較慢的用戶PC機進行一鍵還原、實驗樓各機房實行系統(tǒng)重傳。對病毒源所在的辦公樓用戶進行數(shù)據(jù)備份、重點查殺。

2. 立即根據(jù)用戶的操作系統(tǒng)版本下載微軟MS06-014和MS07-017兩個系統(tǒng)漏洞補丁程序，將補丁程序安裝到局域網(wǎng)絡中存在這兩個漏洞的計算機系統(tǒng)中，防止病毒變種的感染和傳播。

3. 所有各網(wǎng)段PC機上綁定網(wǎng)關的IP和MAC地址。

編寫一個批處理文件 arap.bat內容如下：

@echoff

Arp-d

Arp-s 網(wǎng)關ip地址 網(wǎng)關Mac地址

將這個批處理軟件添加PC機的啟動項中。

4.利用網(wǎng)絡設備構建兩種常見病毒的防范機制

校園網(wǎng)恢復上網(wǎng)之后，我們意識到校園網(wǎng)的病毒防范措施還得進一步加強，必須充分利用網(wǎng)絡設備硬件，構建起更為有效的防范機制：

1. 利用上網(wǎng)行為管理設備

在病毒的防范中我們采用的是單機版殺毒軟件，通過配置網(wǎng)絡和單機防火墻軟件，禁止了教學樓、實驗樓除服務端口外的其他端口，這切斷了計算機蠕蟲病毒的網(wǎng)絡傳輸通道和通信通道，可以有效防御蠕蟲病毒。但是由于蠕蟲病毒的行為同一般的網(wǎng)絡應用有很大的相似性，因此防火墻技術不可避免的導致某些正常的網(wǎng)絡應用也被封堵，教學樓、實驗樓外的其他區(qū)域未進行端口禁止。為了有效解決這一矛盾沖突，更好地實現(xiàn)立體防御，決定采用上網(wǎng)行為管理設備，結合一般的網(wǎng)絡版殺毒軟件進行配合加以防范。

2.運用基于MAC的VLAN

在校園網(wǎng)中建立基于MAC的VLAN，每一個交換機端口只連接一個終端，根據(jù)不同的應用業(yè)務以及安全級別，將網(wǎng)絡分段并進行隔離，控制廣播組的大小和位置，當網(wǎng)絡出現(xiàn)未定義的 MAC地址，交換機可按預先設定的方式報警。

3.采用 NETFLOW

NetFlow 是Cisco 公司在其 IOS 網(wǎng)絡操作系統(tǒng)交換體系中引入的一種新的交換技術，針對路由器送出的NetFlow數(shù)據(jù)，可以利用NetFlow數(shù)據(jù)采集軟件獲取詳細的數(shù)據(jù)流統(tǒng)計信息并能進行進一步的分析和處理。由于蠕蟲傳播過程中會發(fā)起大量的掃描連接，所以對 NetFlow 數(shù)據(jù)流進行統(tǒng)計分析，可以很容易地發(fā)現(xiàn)蠕蟲的掃描行為進而采取相應措施，隔斷其感染途徑。

5.總結

從計算機病毒的發(fā)展來看，計算機病毒的攻擊和防御都在發(fā)展，未來的計算機病毒將會更智能化，復雜化，對網(wǎng)絡的影響和危害將長期存在；校園網(wǎng)對病毒的防御將更加困難。在防御上，已經(jīng)不再是由單獨的殺毒廠商，所能夠解決的。而需要網(wǎng)絡安全公司，系統(tǒng)廠商，網(wǎng)絡設備廠商，防病毒廠商及用戶共同參與，構筑全方位的防范體系，校園網(wǎng)的病毒防御將任重而道遠。（作者單位：邗江中等專業(yè)學校）

參考文獻：

[1] 圖書——馬建峰，劉淵博.計算機系統(tǒng)安全[M].西安電子技大學出版社，2005

[2] 圖書——韓筱卿，王建鋒，鐘 瑋.計算機病毒分析與防范大全（第2版）.電子工業(yè)出版社，2008