Cisco認證:實例講解之校園網(wǎng)病毒該如何鏟除

負責區(qū)教育網(wǎng)絡(luò)信息中心的網(wǎng)絡(luò)維護工作已經(jīng)有很多年，平時主要承擔各個下屬中小學的網(wǎng)絡(luò)故障排查，安全防范及技術(shù)支持工作，在日常工作中經(jīng)常會遇到為學校遠程查殺網(wǎng)絡(luò)病毒的事情。面對校園網(wǎng)病毒考試大也有一套自己的解決方法，今天考試大就從實例出發(fā)為各位IT168的讀者講解校園網(wǎng)病毒該如何鏟除，希望通過本文可以幫助更多的學校網(wǎng)絡(luò)管理教師事半功倍的維護學校內(nèi)部網(wǎng)絡(luò)，將病毒徹底掃出學校大門。
    一，校園網(wǎng)感染病毒特點：
    一般來說學校內(nèi)部計算機都很多，而且隨著校園網(wǎng)的建立各個學校教師用機，機房學生用機都可以順利連接網(wǎng)絡(luò)并通過服務(wù)器或路由器轉(zhuǎn)發(fā)連接外網(wǎng)。所以在感染病毒方面多以網(wǎng)絡(luò)型病毒為主，一般的文件型，單一型病毒很難在學校內(nèi)部網(wǎng)絡(luò)徹底爆發(fā)，即使爆發(fā)也只會影響一臺兩臺計算機，大多數(shù)情況下網(wǎng)絡(luò)管理員直接恢復系統(tǒng)即可解決。
    因此一般來說學校感染的病毒多以網(wǎng)絡(luò)型特別是蠕蟲類病毒為主，在傳播上威力非常大，雖然按照北京市教育委員會的要求每個公立學校都購買了正版殺毒軟件，但是了解網(wǎng)絡(luò)安全和系統(tǒng)安全的讀者都知道，僅僅有殺毒軟件是遠遠不夠的，姑且不說殺毒軟件殺毒能力如何，就算能夠徹底查殺，如果自己的系統(tǒng)相應漏洞沒有及時安裝彌補的話，遲早也會被漏洞型病毒入侵。這點在學校網(wǎng)絡(luò)中特別明顯，危害大的感染大的都屬于漏洞型病毒。
    綜合兩點在校園網(wǎng)中存活的最主要病毒屬于漏洞型蠕蟲病毒，一方面他的爆發(fā)會導致全學校網(wǎng)絡(luò)的徹底癱瘓，另一方面針對這類病毒查殺也是非常困難的。漏洞型病毒需要針對學校每臺計算機安裝系統(tǒng)補丁或軟件更新，蠕蟲病毒則要針對學校每臺計算機進行檢測，找到病毒根源，而實際中往往多臺計算機都成為毒源頻繁發(fā)送病毒數(shù)據(jù)包影響其他計算機。
    二，實例講解校園網(wǎng)病毒清除全過程：
    正巧最近考試大遇到了一位網(wǎng)絡(luò)管理教師的求救，希望考試大可以通過遠程針對其內(nèi)網(wǎng)進行掃描和檢測，該學校內(nèi)網(wǎng)具體現(xiàn)象如下——內(nèi)網(wǎng)除了服務(wù)器外所有教師計算機和機房計算機都無法順利上網(wǎng)，全學校網(wǎng)絡(luò)中斷?？荚嚧筮h程可以登錄到該學校服務(wù)器上，從服務(wù)器下手針對內(nèi)網(wǎng)進行檢測和掃描。
    第一步：關(guān)閉路由交換設(shè)備上的訪問控制列表，從區(qū)信息中心遠程連接有問題學校的服務(wù)器。
    第二步：的檢測內(nèi)網(wǎng)故障就是通過類sniffer工具來完成，考試大決定使用科來網(wǎng)絡(luò)分析系統(tǒng)來解決，由于服務(wù)器可以上網(wǎng)所以考試大下載該系統(tǒng)安裝包并指定針對網(wǎng)卡1進行監(jiān)控。
    第三步：掃描監(jiān)控所有數(shù)據(jù)包，在左邊查找數(shù)據(jù)包處按照協(xié)議來瀏覽，查看ARP信息，因為在學校最容易出現(xiàn)的就是ARP欺騙蠕蟲病毒了，而且這個學校的故障癥狀也是全學校計算機無法上網(wǎng)，很可能就是虛假網(wǎng)關(guān)造成的問題。在ARP數(shù)據(jù)包下考試大查看“診斷”標簽下的信息，在這里看到了有幾個MAC地址對應的主機發(fā)送了太多的ARP請求數(shù)據(jù)包而沒有得到應答。
    小提示：
    由于感染ARP欺騙病毒的數(shù)據(jù)包會頻繁向內(nèi)網(wǎng)發(fā)送廣播數(shù)據(jù)包以及單點數(shù)據(jù)包，目的地址是內(nèi)網(wǎng)所有IP，所以當該IP沒有對應活動主機時就會產(chǎn)生無應答的現(xiàn)象，這也是ARP欺騙病毒的一個顯著特征。
    第四步：記錄下太多的ARP請求數(shù)據(jù)包而沒有得到應答計算機的源地址——MAC地址，考試大一共發(fā)現(xiàn)了有三臺這樣的計算機，MAC地址依次是001e8c0218a3,001d60fca3da,001d60fca01c。
    第五步：接下來在左邊找到這三個MAC地址對應的主機，查看單個主機的流量信息，經(jīng)過查詢發(fā)現(xiàn)每個主機發(fā)送的數(shù)據(jù)包多以ARP數(shù)據(jù)包為主，而且具體內(nèi)容是告訴目的地址58.129.91.126這個IP地址對應的MAC為上述三個MAC地址。要知道58.129.91.126是這個學校的網(wǎng)關(guān)地址，由此我們就可以判斷出這三個機器發(fā)送的是ARP欺騙數(shù)據(jù)包，讓其他主機混淆了主機的MAC地址信息，將本來應該發(fā)送到網(wǎng)關(guān)的數(shù)據(jù)包發(fā)送給這三臺計算機，從而造成了無法上網(wǎng)的問題。
    第六步：再次在服務(wù)器上執(zhí)行ipconfig確認網(wǎng)關(guān)地址為58.129.91.126。
    第七步：在正常上網(wǎng)的服務(wù)器上執(zhí)行arp -a查詢ARP緩存信息，發(fā)現(xiàn)58.129.91.126這個網(wǎng)關(guān)地址對應的真正MAC地址應該是00e0fc297759，而不是上面提到的那三個MAC地址。
    第八步：確定問題主機后考試大通過查詢正確計算機的ARP緩存信息或者查詢DHCP地址池中租約對應關(guān)系又或者查看學校之前做的備案獲取了這三個MAC地址對應的IP地址，將這三個地址斷網(wǎng)殺毒或重新安裝系統(tǒng)，之后學校網(wǎng)絡(luò)恢復了正常。
    三，總結(jié)：
    蠕蟲病毒是學校最容易遇到的問題，考試大在實際工作過程中接觸的安全問題有90%都是來自于蠕蟲病毒，針對ARP欺騙蠕蟲病毒來說我們應該防患于未燃，在網(wǎng)絡(luò)正常時及時記錄各個機器的MAC地址，IP地址，主機及物理位置信息，并且通過雙向綁定(網(wǎng)關(guān)上綁定客戶端MAC地址，客戶端MAC地址綁定網(wǎng)關(guān) MAC)來達到ARP欺騙的免疫，從而保證學校內(nèi)網(wǎng)更加安全。