您现在的位置：&&>>&&>>&&>>&实例讲解之校园网病毒该如何铲除正文
实例讲解之校园网病毒该如何铲除
实例讲解之校园网病毒该如何铲除
作者/编辑：佚名
笔者负责区教育网络信息中心的网络维护已经有很多年，平时主要承担各个下属中的网络故障排查，防范及技术支持工作，在日常工作中经常会遇到为查杀网络病毒的事情，。面对网病毒笔者也有一套自己的解决，今天笔者就从实例出发为各位IT168的读者讲解校园网病毒该如何铲除，希望通过本文可以更多的学校网络事半功倍的维护学校内部网络，将病毒彻底扫出学校大门。
一，校园网感染病毒特点：
一般来说学校内部计算机都很多，而且随着校园网的建立各个学校教师用机，机房学生用机都可以顺利连接网络并通过服务器或由器转发连接外网。所以在感染病毒方面多以网络型病毒为主，一般的文件型，单一型病毒很难在学校内部网络彻底爆发，即使爆发也只会影响一台两台计算机，大多数下网络管理员直接恢复系统即可解决。
因此一般来说学校感染的病毒多以网络型特别是蠕虫类病毒为主，在传播上威力非常大，虽然按照市教育委员会的要求每个公立学校都购买了正版杀毒软件，但是了解网络安全和系统安全的读者都知道，仅仅有杀毒软件是远远不够的，姑且不说杀毒软件杀毒能力如何，就算能够彻底查杀，如果自己的系统相应漏洞没有及时安装弥补的话，迟早也会被漏洞型病毒入侵。这点在学校网络中特别明显，危害大的感染大的都属于漏洞型病毒。
综合两点在校园网中存活的最主要病毒属于漏洞型蠕虫病毒，一方面他的爆发会导致全学校网络的彻底瘫痪，另一方面针对这类病毒查杀也是非常困难的。漏洞型病毒需要针对学校每台计算机安装系统补丁或软件更新，蠕虫病毒则要针对学校每台计算机进行检测，找到病毒根源，而实际中往往多台计算机都成为毒源频繁发送病毒数据包影响其他计算机。
二，实例讲解校园网病毒清除全过程：
正巧最近笔者遇到了一位网络管理教师的求救，希望笔者可以通过远程针对其内网进行扫描和检测，该学校内网具体现象如下&&内网除了服务器外所有教师计算机和机房计算机都无法顺利上网，全学校网络中断，《》()。笔者远程可以登录到该学校服务器上，从服务器下手针对内网进行检测和扫描。
第一步：关闭路由交换设备上的访问控制列表，从区信息中心远程连接有问题学校的服务器。(如图1)
第二步：最好的检测内网故障就是通过类sniffer工具来完成，笔者决定使用科来网络系统来解决，由于服务器可以上网所以笔者下载该系统安装包并指定针对网卡1进行监控。(如图2)
第三步：扫描监控所有数据包，在左边查找数据包处按照来浏览，查看ARP信息，因为在学校最容易出现的就是ARP欺骗蠕虫病毒了，而且这个学校的故障症状也是全学校计算机无法上网，很可能就是虚假网关造成的问题。在ARP数据包下笔者查看&诊断&标签下的信息，在这里看到了有几个MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答。(如图3)
由于感染ARP欺骗病毒的数据包会频繁向内网发送数据包以及单点数据包，目的地址是内网所有IP，所以当该IP没有对应主机时就会产生无应答的现象，这也是ARP欺骗病毒的一个显著特征。
第四步：记录下太多的ARP请求数据包而没有得到应答计算机的源地址&&MAC地址，笔者一共发现了有三台这样的计算机，MAC地址依次是001e8cd60fca3da,001d60fca01c。
第五步：接下来在左边找到这三个MAC地址对应的主机，查看单个主机的流量信息，经过查询发现每个主机发送的数据包多以ARP数据包为主，而且具体内容是告诉目的地址58.129.91.126这个IP地址对应的MAC为上述三个MAC地址。要知道58.129.91.126是这个学校的网关地址，由此我们就可以判断出这三个机器发送的是ARP欺骗数据包，让其他主机混淆了主机的MAC地址信息，将本来应该发送到网关的数据包发送给这三台计算机，从而造成了无法上网的问题。(如图4)
第六步：再次在服务器上ipconfig确认网关地址为58.129.91.126。(如图5)
第七步：在正常上网的服务器上执行arp -a查询ARP缓存信息，发现58.129.91.126这个网关地址对应的真正MAC地址应该是00e0fc297759，而不是上面提到的那三个MAC地址。(如图6)
第八步：确定问题主机后笔者通过查询正确计算机的ARP缓存信息或者查询DHCP地址池中租约对应关系又或者查看学校之前做的备案获取了这三个MAC地址对应的IP地址，将这三个地址断网杀毒或重新安装系统，之后学校网络恢复了正常。(如图7)
蠕虫病毒是学校最容易遇到的问题，笔者在实际工作过程中接触的安全问题有90%都是来自于蠕虫病毒，针对ARP欺骗蠕虫病毒来说我们应该防患于未燃，在网络正常时及时记录各个机器的MAC地址，IP地址，主机及物理位置信息，并且通过双向绑定(网关上绑定客户端MAC地址，客户端MAC地址绑定网关MAC)来达到ARP欺骗的免疫，从而保证学校内网更加安全。
　　〔实例讲解之校园网病毒该如何铲除〕随文赠言：【受惠的人，必须把那恩惠常藏心底，但是施恩的人则不可记住它。――西塞罗】
　　实例讲解之校园网病毒该如何铲除所属栏目：〖〗
　　“实例讲解之校园网病毒该如何铲除”相关
　　〖〗链接地址：
　　电脑资料提供的实例讲解之校园网病毒该如何铲除由网友原创或转发，若实例讲解之校园网病毒该如何铲除侵犯了您的权益，请与本站联系，谢谢！
上一篇资料： 下一篇资料：
实例讲解之校园网病毒该如何铲除相关资料君，已阅读到文档的结尾了呢~~
校园网客户端常见问题及解决方法
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
校园网客户端常见问题及解决方法
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口you have been blocked：转载时请以超链接形式标明文章原始出处和作者信息及本声明
用的校园网，过几分钟就出现，微信电脑客户端下载外网无法维持,内网唯一可用，就是掉线了，其他人没事，只有我的电脑这样
校园网经常会出现的
你们是一个宿舍用的路由器还是学校里MAC地址与IP地址绑定，如果是绑定的还老是掉线的话可能是受到了ARP攻击了。
如果不是，那我就不清楚了
给你看个东西吧，你对照看看是不是这种情况，如果是我这有个ARP防火墙，如果有用可以发给你！
遭受ARP攻击后现象
ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。
ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。
大概就是这样，你对照下看看！
希望采纳！O(∩_∩)O~
历史上的今天：}