中小学局域网应对ARP病毒攻击的措施_arp病毒的解决措施

中小学局域网应对ARP病毒攻击的措施由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“arp病毒的解决措施”。

网络安全工作总结

付正林

随着社会的发展，信息技术对教育教学的影响越来越广，越来越多的学校与教师对网络依赖也越来越大；而对中小学校园内局域要求也是一天比一天高。但现在ARP病毒攻击成为局域网杀手，造成校园网络无法正常使用。ARP病毒攻击，以成各中小学校网络管理员公认为最头痛的事。而各中小学网络管理员如何面对ARP病毒攻击呢？

ARP与ARP病毒简介

ARP全称：Addre Resolution Protocol 地址解析协议。ARP的作用：实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。（物理地址即网络中的MAC地址，也就是全世界所有网卡中的唯一标识代码）

ARP病毒：就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP病毒攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马病毒，则感染该ARP木马病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

遭受ARP攻击后现象：ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等，不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网，严重者跟本无法正常连接网络。

应对中小学校园网内ARP病毒攻击的思考

现在各中小学普遍存在ARP病毒攻击的原因有如下几个方面：第一网络安全设备配置不齐全，使校园内网络结构比较简单；第二中小学的网络管理员绝大部分是电脑教师兼职，专业水平与发展方向出现偏差；第三使用者——教师使用电脑与网络的不正确或者说不规范，比如在不在安全的网站下载文件、使用U盘或者移动硬盘传输文件与在网上浏览不正规的网站等；第四忽视对应该服务系统的有效管理与建设，这与学校经费或者上经领导重视或管理者水平有关。第五网络技术与病毒更新太快，管理员的学习跟不上发展速度，加强网络管理员的相关业务学习很重要。

现在流行的维护方法：静态绑定、Antiarp和具有ARP防护功能的路由器。但这只是针对网络与使用设置的一种应对措施，相对中小学小而全的校园网而言，还远远不够。我们应全面考虑各种因素，多管齐下来应对ARP病毒攻击问题。第一：从病毒来原入手，第二从病毒攻击方式考虑，第三对使用者——教师的电脑与网络使用的相关培训，第四网络管理者专业水平的提高，第五学校的重视。

应对ARP病毒攻击的具体措施

从全局角度来思考：教育信息化实现的基础是网络正常运行，各种信息化的教育教学活动没有网络的正常运行再好的东西也无法使用。如无纸化办公（OA系统）、教学资源库、家校通、广港校际在线交流（视像中国）、远程集体备课、学生电子书包、电子课堂等。各种现代化信息教育教学都运行在良好的网络环境之上，网络与现代信息化教育教学活动的基础。所以学校必需重视才行，不然何谈教育信息化。学校的重视也有利于网络管理员的工作，如加大网络基础的投入、与部门的工作配合、参加各种有利于业务水平提高的培训与交流活动等。争取学校的重视，是网络工作是有力保证。争取学校的重视，首先要把自己的本职工作做好，做好了本职工作是领导重视的前提。其次是做好网络工作计划，一个合理的计划能更有利于我们开展工作，也能更好地获得所有管理者与参与者支持。然后整理好工作中遇到的问题和教师的使用意见，是向学校提供决策的重要参考意见。

从网络技术角度来解决：技术方面首先是病毒来源着手，ARP病毒一般都与木马病毒共存，病毒来源有三个方面，第一是因特网，第二是U盘或移动硬盘等移动式存储器，第三是网内原有电脑上本身就存有。应对因特网上的木马或者病毒，我们一定要加装防火墙，做好相关策略。设置防火墙的技术策略这里不详讲，因为各种不同的防火墙有不能的命令与解决方法。应该对内部病毒，我们应该先组织一次全面的清理活动，在最大可能减少内部病毒的出现，然后加装相关的杀毒软件与单机防火墙。应该移动存储器内的病毒主要是加强使用者的防范意识，经常查杀自己移动存储器，每天使用时都必须检查病毒后再使用。

然后从ARP病毒攻击原理来处理，第一静态绑定：最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定，使ARP无法欺骗。第二内网分段，根据各区域与功能相关不同使用者，划分不同的VLin。这样就算网内有机器感染了ARP病毒，也不会迅速传播到整个局域网，让管理员有足够的时间与空间来处理。第三，有条件的学校可以做到终端交换机端口划分与绑定，在这不多言。第四，核心交换机上，利用交换机的统计功能，对某一MAC地址一定时间内对网关请求数过大（如每分钟大于90次），即断开这台电脑的网络。这是因为现在绝大部分中小学网络管理员都是兼职，不可能经常在监视网络运行情况；这样在网络管理员不在的情况下，可以在一定程度上保证网络正常运行。第五，每天定时认真查看路由器、防火墙、上网行为管理设备、核心交换机等关键网络设置记录，了解网络运行情况。第六，使用Sniffer等网络工具定时扫描网络内部情况，并认真分析异常情况，提前发现问题并解决问题。

最后从应用角度来防范，第一，使用并有效管理好公共服务器系统，特别是文件服务器、资源库服务器、BBS服务器等流量比较大，利用率比较高的服务器。这些公共服务系统可以减少老师对移动存储器的使用，更能相对较少地减少老师在使用外网时中毒的机率。这些重要服务器应该划分单独的VLin,并做好相关的安全策略，能安全服务器杀毒软件是最好的。专业的网络管理员提出的服务器不应该装杀毒，也是有道理的，但现在中小学里的网络管理员并不是非常专业的网络技术管理员，也不能时刻监视网络情况与服务器系统情况，我们都是业余级的。第二，当发现网内有机器感染了ARP病毒，最简单的方法是：先断该机器的网络连接，最好是物理中断；然后保存好该机器内重要数据，然后在干净的网络环境下清理所有数据，并重装系统等相关工作；同时对机器使用者进行解释说明与相关宣传工作。在干净的网络环境这点很重要，可以避免机器二次感染。

从自身角度来提高：时代是发展的。网络信息技术的发展更是以超出人们想象的速度在发展。培训与学习更是应对各种网络问题的重中之重。技术培训分二部分，第一是网络管理员的业务水平技术培训与学习。第二是网络使用者的电脑与网络应用技巧的校本培训。对于学校来说，应该创造条件，让网络管理员不断参加各种网络技术相关的培训学习班或者研讨会；网络管理员也要通过各种途径来学习各种新技术，了解技术的展情况。比如网上的技术论坛上参与讨论与学习：中国网管论坛（http://bbs.bitscn.com/）、51TCO技术论坛（http://bbs.51cto.com/）等。网络管理员也应该经常在学校内部进行电脑与网络应用的相关校本培训，提高使用者的应该水平与防病毒能力；同时经常与不同应用能力的使用者之间进行小范围的研讨工作，深入一线使用者中，去了解各种使用者的应用情况。把学校校园网比做一个人的话，提高网络管理者与应用都自身水平，就是像是提高人的身体素质一样，是应对病毒攻击最好的办法。

应对ARP病毒攻击，从学校指导思想层、校园网络管理层、网络应用层来发展问题并解决问题，才是应对ARP病毒攻击基本。做好这三者之间的工作，应对ARP病毒攻击就能轻松自如。

2012-1-7