应用网络设备实现两种常见病毒的防治

摘 要：ARP病毒、蠕虫病毒为两种常见的网络病毒，我校校园网前段时间这两种病毒同时发作，严重地影响了正常的教学秩序。本文以此案例为切入点，就病毒的特征表象展开剖析，提出了通过网络设备检测所获得的各类反馈信息进行这两种病毒的快速防治。

关键词：网络设备；ARP病毒；蠕虫病毒；快速

1.引言

随着网络应用的日渐广泛，网络病毒和攻击形式也日趋多样，校园网的安全问题日益突出，我校前段时间校园网频频断网，服务器受到攻击，许多教师的电脑无法进行病毒库的升级……经查是受到两种常见网络病毒：ARP病毒、蠕虫病毒的同时攻击，后成功完成故障排除。笔者以此案例为切入点，从校园网结构、硬件配置开始，畅述了利用网络设备各类检测信息进行这两种病毒快速诊断、病毒源的快速定位，快速复网的措施，并提出了利用网络设备进一步构建有效的防御机制。

2.案例再现

2.1 校园网网络拓朴结构：（其中宿舍楼未配置，不能联网）

2.2 主要网络设备情况：

主干交换机：主干交换机均选择Catalyst2948GL3；楼寓交换机：CISCO Catalyst 3524/3548；楼层交换机：CISCO Catalyst 3524；网络出口设备：CISCO HiPER 2620，服务器：联想T168G7系列，实验楼PC机定型：联想系列。

2.3 校园网采用的操作系统

服务器：Windows Server 2003 企业版，装有单机正式杀毒软件；PC机多为Windows XP/7.0。

2.4 校园网故障情况

最初网络访问时断时续，掉线频繁，网络访问速度越来越慢，办公楼大部分上网电脑无法正常连接网络，但杀毒之后再次出现，能连网的机器不能升级病毒库，360等官方网站不能正常启动……教学办公次序一片混乱。

学校要求网管中心和计算机教师配合尽快诊断为何种故障，要求尽快处理，并恢复正常教学秩序。

3.利用网络设备对校园网故障处理

3.1 利用网络设备快速诊断

根据校园网故障特征，初步怀疑是ARP病毒，为了确诊是否为ARP病毒，做如下测试：查看网络设备路由器的“系统历史记录”和检查最先出现问题的办公大楼用户PC机。两项检查基本断定有ARP欺骗类型的木马病毒。

3.2 利用网络设备实现病毒源快速定位

校园网内有五个网段，近3000个信息点，必须快速找到病毒源机，具体操作如下：

步骤一：在受影响的用户电脑中查询一下当前网关的MAC地址，查询命令为 ARP -a（需要在cmd命令提示行下输入）。

步骤二：找出病毒源的MAC地址所对应的IP地址。在一台客户机上运行路由跟踪命令如：tracert ，可以发现第一条不是网关的IP地址，再下一跳才是网关IP地址。

步骤三：找到这个IP 地址具体对应的机子。由于本校除教学楼、实验楼外，其他各区的IP地址是动态获取，这给寻查病毒源IP所对应的机器带来了一定的困难。

3.3 单独对病毒源机做彻底地清除。

对病毒源机断网单独作处理时，发现病毒如下：G_Server2.0.exe、okserver.exe、VKTServ.exe、winsmd .exe、WORM_RBOT.EOB蠕虫病毒。对此病毒源机做重装系统处理。

3.4 复网工作

1.下载Windows蠕虫病毒专杀定制工具对全网进行扫描杀毒，并安排计算机老师分组负责各网段，对教学区、图书馆上网速度仍较慢的用户PC机进行一键还原、实验楼各机房实行系统重传。对病毒源所在的办公楼用户进行数据备份、重点查杀。

2. 立即根据用户的操作系统版本下载微软MS06-014和MS07-017两个系统漏洞补丁程序，将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中，防止病毒变种的感染和传播。

3. 所有各网段PC机上绑定网关的IP和MAC地址。

编写一个批处理文件 arap.bat内容如下：

@echoff

Arp-d

Arp-s 网关ip地址 网关Mac地址

将这个批处理软件添加PC机的启动项中。

4.利用网络设备构建两种常见病毒的防范机制

校园网恢复上网之后，我们意识到校园网的病毒防范措施还得进一步加强，必须充分利用网络设备硬件，构建起更为有效的防范机制：

1. 利用上网行为管理设备

在病毒的防范中我们采用的是单机版杀毒软件，通过配置网络和单机防火墙软件，禁止了教学楼、实验楼除服务端口外的其他端口，这切断了计算机蠕虫病毒的网络传输通道和通信通道，可以有效防御蠕虫病毒。但是由于蠕虫病毒的行为同一般的网络应用有很大的相似性，因此防火墙技术不可避免的导致某些正常的网络应用也被封堵，教学楼、实验楼外的其他区域未进行端口禁止。为了有效解决这一矛盾冲突，更好地实现立体防御，决定采用上网行为管理设备，结合一般的网络版杀毒软件进行配合加以防范。

2.运用基于MAC的VLAN

在校园网中建立基于MAC的VLAN，每一个交换机端口只连接一个终端，根据不同的应用业务以及安全级别，将网络分段并进行隔离，控制广播组的大小和位置，当网络出现未定义的 MAC地址，交换机可按预先设定的方式报警。

3.采用 NETFLOW

NetFlow 是Cisco 公司在其 IOS 网络操作系统交换体系中引入的一种新的交换技术，针对路由器送出的NetFlow数据，可以利用NetFlow数据采集软件获取详细的数据流统计信息并能进行进一步的分析和处理。由于蠕虫传播过程中会发起大量的扫描连接，所以对 NetFlow 数据流进行统计分析，可以很容易地发现蠕虫的扫描行为进而采取相应措施，隔断其感染途径。

5.总结

从计算机病毒的发展来看，计算机病毒的攻击和防御都在发展，未来的计算机病毒将会更智能化，复杂化，对网络的影响和危害将长期存在；校园网对病毒的防御将更加困难。在防御上，已经不再是由单独的杀毒厂商，所能够解决的。而需要网络安全公司，系统厂商，网络设备厂商，防病毒厂商及用户共同参与，构筑全方位的防范体系，校园网的病毒防御将任重而道远。（作者单位：邗江中等专业学校）

参考文献：

[1] 图书――马建峰，刘渊博.计算机系统安全[M].西安电子技大学出版社，2005

[2] 图书――韩筱卿，王建锋，钟 玮.计算机病毒分析与防范大全（第2版）.电子工业出版社，2008