Cisco認(rèn)證:實(shí)例講解之校園網(wǎng)病毒該如何鏟除

負(fù)責(zé)區(qū)教育網(wǎng)絡(luò)信息中心的網(wǎng)絡(luò)維護(hù)工作已經(jīng)有很多年，平時(shí)主要承擔(dān)各個(gè)下屬中小學(xué)的網(wǎng)絡(luò)故障排查，安全防范及技術(shù)支持工作，在日常工作中經(jīng)常會(huì)遇到為學(xué)校遠(yuǎn)程查殺網(wǎng)絡(luò)病毒的事情。面對校園網(wǎng)病毒考試大也有一套自己的解決方法，今天考試大就從實(shí)例出發(fā)為各位IT168的讀者講解校園網(wǎng)病毒該如何鏟除，希望通過本文可以幫助更多的學(xué)校網(wǎng)絡(luò)管理教師事半功倍的維護(hù)學(xué)校內(nèi)部網(wǎng)絡(luò)，將病毒徹底掃出學(xué)校大門。
    一，校園網(wǎng)感染病毒特點(diǎn)：
    一般來說學(xué)校內(nèi)部計(jì)算機(jī)都很多，而且隨著校園網(wǎng)的建立各個(gè)學(xué)校教師用機(jī)，機(jī)房學(xué)生用機(jī)都可以順利連接網(wǎng)絡(luò)并通過服務(wù)器或路由器轉(zhuǎn)發(fā)連接外網(wǎng)。所以在感染病毒方面多以網(wǎng)絡(luò)型病毒為主，一般的文件型，單一型病毒很難在學(xué)校內(nèi)部網(wǎng)絡(luò)徹底爆發(fā)，即使爆發(fā)也只會(huì)影響一臺(tái)兩臺(tái)計(jì)算機(jī)，大多數(shù)情況下網(wǎng)絡(luò)管理員直接恢復(fù)系統(tǒng)即可解決。
    因此一般來說學(xué)校感染的病毒多以網(wǎng)絡(luò)型特別是蠕蟲類病毒為主，在傳播上威力非常大，雖然按照北京市教育委員會(huì)的要求每個(gè)公立學(xué)校都購買了正版殺毒軟件，但是了解網(wǎng)絡(luò)安全和系統(tǒng)安全的讀者都知道，僅僅有殺毒軟件是遠(yuǎn)遠(yuǎn)不夠的，姑且不說殺毒軟件殺毒能力如何，就算能夠徹底查殺，如果自己的系統(tǒng)相應(yīng)漏洞沒有及時(shí)安裝彌補(bǔ)的話，遲早也會(huì)被漏洞型病毒入侵。這點(diǎn)在學(xué)校網(wǎng)絡(luò)中特別明顯，危害大的感染大的都屬于漏洞型病毒。
    綜合兩點(diǎn)在校園網(wǎng)中存活的最主要病毒屬于漏洞型蠕蟲病毒，一方面他的爆發(fā)會(huì)導(dǎo)致全學(xué)校網(wǎng)絡(luò)的徹底癱瘓，另一方面針對這類病毒查殺也是非常困難的。漏洞型病毒需要針對學(xué)校每臺(tái)計(jì)算機(jī)安裝系統(tǒng)補(bǔ)丁或軟件更新，蠕蟲病毒則要針對學(xué)校每臺(tái)計(jì)算機(jī)進(jìn)行檢測，找到病毒根源，而實(shí)際中往往多臺(tái)計(jì)算機(jī)都成為毒源頻繁發(fā)送病毒數(shù)據(jù)包影響其他計(jì)算機(jī)。
    二，實(shí)例講解校園網(wǎng)病毒清除全過程：
    正巧最近考試大遇到了一位網(wǎng)絡(luò)管理教師的求救，希望考試大可以通過遠(yuǎn)程針對其內(nèi)網(wǎng)進(jìn)行掃描和檢測，該學(xué)校內(nèi)網(wǎng)具體現(xiàn)象如下——內(nèi)網(wǎng)除了服務(wù)器外所有教師計(jì)算機(jī)和機(jī)房計(jì)算機(jī)都無法順利上網(wǎng)，全學(xué)校網(wǎng)絡(luò)中斷?？荚嚧筮h(yuǎn)程可以登錄到該學(xué)校服務(wù)器上，從服務(wù)器下手針對內(nèi)網(wǎng)進(jìn)行檢測和掃描。
    第一步：關(guān)閉路由交換設(shè)備上的訪問控制列表，從區(qū)信息中心遠(yuǎn)程連接有問題學(xué)校的服務(wù)器。
    第二步：的檢測內(nèi)網(wǎng)故障就是通過類sniffer工具來完成，考試大決定使用科來網(wǎng)絡(luò)分析系統(tǒng)來解決，由于服務(wù)器可以上網(wǎng)所以考試大下載該系統(tǒng)安裝包并指定針對網(wǎng)卡1進(jìn)行監(jiān)控。
    第三步：掃描監(jiān)控所有數(shù)據(jù)包，在左邊查找數(shù)據(jù)包處按照協(xié)議來瀏覽，查看ARP信息，因?yàn)樵趯W(xué)校最容易出現(xiàn)的就是ARP欺騙蠕蟲病毒了，而且這個(gè)學(xué)校的故障癥狀也是全學(xué)校計(jì)算機(jī)無法上網(wǎng)，很可能就是虛假網(wǎng)關(guān)造成的問題。在ARP數(shù)據(jù)包下考試大查看“診斷”標(biāo)簽下的信息，在這里看到了有幾個(gè)MAC地址對應(yīng)的主機(jī)發(fā)送了太多的ARP請求數(shù)據(jù)包而沒有得到應(yīng)答。
    小提示：
    由于感染ARP欺騙病毒的數(shù)據(jù)包會(huì)頻繁向內(nèi)網(wǎng)發(fā)送廣播數(shù)據(jù)包以及單點(diǎn)數(shù)據(jù)包，目的地址是內(nèi)網(wǎng)所有IP，所以當(dāng)該IP沒有對應(yīng)活動(dòng)主機(jī)時(shí)就會(huì)產(chǎn)生無應(yīng)答的現(xiàn)象，這也是ARP欺騙病毒的一個(gè)顯著特征。
    第四步：記錄下太多的ARP請求數(shù)據(jù)包而沒有得到應(yīng)答計(jì)算機(jī)的源地址——MAC地址，考試大一共發(fā)現(xiàn)了有三臺(tái)這樣的計(jì)算機(jī)，MAC地址依次是001e8c0218a3,001d60fca3da,001d60fca01c。
    第五步：接下來在左邊找到這三個(gè)MAC地址對應(yīng)的主機(jī)，查看單個(gè)主機(jī)的流量信息，經(jīng)過查詢發(fā)現(xiàn)每個(gè)主機(jī)發(fā)送的數(shù)據(jù)包多以ARP數(shù)據(jù)包為主，而且具體內(nèi)容是告訴目的地址58.129.91.126這個(gè)IP地址對應(yīng)的MAC為上述三個(gè)MAC地址。要知道58.129.91.126是這個(gè)學(xué)校的網(wǎng)關(guān)地址，由此我們就可以判斷出這三個(gè)機(jī)器發(fā)送的是ARP欺騙數(shù)據(jù)包，讓其他主機(jī)混淆了主機(jī)的MAC地址信息，將本來應(yīng)該發(fā)送到網(wǎng)關(guān)的數(shù)據(jù)包發(fā)送給這三臺(tái)計(jì)算機(jī)，從而造成了無法上網(wǎng)的問題。
    第六步：再次在服務(wù)器上執(zhí)行ipconfig確認(rèn)網(wǎng)關(guān)地址為58.129.91.126。
    第七步：在正常上網(wǎng)的服務(wù)器上執(zhí)行arp -a查詢ARP緩存信息，發(fā)現(xiàn)58.129.91.126這個(gè)網(wǎng)關(guān)地址對應(yīng)的真正MAC地址應(yīng)該是00e0fc297759，而不是上面提到的那三個(gè)MAC地址。
    第八步：確定問題主機(jī)后考試大通過查詢正確計(jì)算機(jī)的ARP緩存信息或者查詢DHCP地址池中租約對應(yīng)關(guān)系又或者查看學(xué)校之前做的備案獲取了這三個(gè)MAC地址對應(yīng)的IP地址，將這三個(gè)地址斷網(wǎng)殺毒或重新安裝系統(tǒng)，之后學(xué)校網(wǎng)絡(luò)恢復(fù)了正常。
    三，總結(jié)：
    蠕蟲病毒是學(xué)校最容易遇到的問題，考試大在實(shí)際工作過程中接觸的安全問題有90%都是來自于蠕蟲病毒，針對ARP欺騙蠕蟲病毒來說我們應(yīng)該防患于未燃，在網(wǎng)絡(luò)正常時(shí)及時(shí)記錄各個(gè)機(jī)器的MAC地址，IP地址，主機(jī)及物理位置信息，并且通過雙向綁定(網(wǎng)關(guān)上綁定客戶端MAC地址，客戶端MAC地址綁定網(wǎng)關(guān) MAC)來達(dá)到ARP欺騙的免疫，從而保證學(xué)校內(nèi)網(wǎng)更加安全。