浅析高校校园网常见病毒
作者:乔隽
来源:《电子世界》2012年第08期
【摘要】本文介绍了高校校园网中最为常见的三种计算机病毒,从校园网管理者的角度,浅析了三种病毒的危害、原理以及防范策略。希望读者能通过本问的阅读,了解高校校园网中常见的计算机病毒,提高对病毒的防范能力。
【关键词】校园网;ARP病毒;蠕虫病毒;恶意软件
随着网络迅速的普及,高校各项工作信息化的速度不断加快,我们的校园网的规模正在以前所未有的速度进行扩张。正当我们享受到校园网提供的各种便捷高效的服务的时候,病毒也在校园网中疯狂的复制、传播。在校园网中传播的病毒,可以导致计算机运行效率急剧下降、系统资源遭到恶意消耗,能在很短的时间内造成网络系统的瘫痪。
通过本文的浅析,希望大家能对在校园网中传播的三种主要的病毒类型有所了解,提高自己的防毒、杀毒能力。
1.ARP病毒
ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。ARP协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC 地址)。严格的说ARP的属于木马的一种,但它除了具备木马的特征和危害以外,还对网络通信造成很大的影响。
1.1 ARP病毒危害
校园网感染了ARP病毒之后,主要会出现一下几种现象:①校园网通信不正常,有些网段时断时续,上网非常困难;②IE浏览器频繁出错,网页总是打不开,或者开不全;③当你发现上不了网之后,断网一段时间后重新连接,或者在MSDOS状态下用“arp-d”命令清空ARP 缓存表后,可以暂时正常使用网络。
1.2 ARP病毒原理
ARP病毒的主要攻击手段主要就是对路由欺骗和网关欺骗两种。ARP病毒会截获网关的数据,把大量错误的网卡MAC地址发送给路由器,并且一直重复这个欺骗过程,使得真正的地址信息不能保存到路由器当中去,路由器只能把所有的信息发送ARP病毒制造出来的虚假的MAC地址,在这个过程当中,路由器一直处于一个正常的工作状态,只是它所有的信息都是发送给一些不存在的MAC地址。ARP病毒网关欺骗的原来和路由欺骗有点类似,ARP病毒在校园网里面建立一个假网关,很多被欺骗的计算机向假网关发送数据,但得不到信息反馈,
所以出现网络连接正常,但上不了网。查看网络连接状态是,会发现只有发送数据,没有接收到数据。
1.3 ARP病毒防范策略
要有效的预防ARP病毒,要从校园网的使用方和校园网的管理方,双方同来进行。校园网的使用方,也就是使用校园的广大师生,要在接入校园网的计算机上安装ARP防火墙,360安全卫士等软件都有ARP病毒防火墙和病毒专杀工具,实时更新系统漏洞补丁等。而校园网的管理方,也是是校园网的网管,可以从两个方面来进行:①实现校园网VLAN划分的细化,利用ARP病毒攻击的原理,将攻击尽量缩小到一个可以承受的范围;②在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。这样做既可以防止非法用户随意接入校园网,还能从根本上解决ARP病毒的欺骗攻击。
2.蠕虫病毒
蠕虫是一种通过网络传播的恶性病毒,可在系统之间进行自我复制,传染目标是互联网内的所有计算机。蠕虫病毒能控制计算机上可以传输文件或信息的功能,一旦校园网中的任意一台计算机系统感染蠕虫病毒,蠕虫即可自行传播,将自己从一台计算机复制到另一台计算机。电子邮件的附件、聊天软件和带有病毒脚本的网页成为了蠕虫病毒传播的主要途径。
2.1 蠕虫病毒的危害
蠕虫入侵校园网中计算机系统后,会在此计算机上复制自身多个副本,每个副本又开始自动启动搜索程序探测校园网中新的攻击目标,大量的进程会消耗系统的资源,致使系统性能下降,尤其对校园网中的服务器的影响明显。蠕虫传播的第一步是大面积搜索校园网上的计算机,找到网络上其它存在漏洞的目标计算机。随着感染的计算机的增加,扫描进程数量也随几何基数增长,持续的网络流量的猛增,导致整个校园网的瘫痪。蠕虫病毒还有有搜索、扩散、窃取系统和用户敏感信息功能,并在系统中留下后门,会造成未来的系统安全隐患。
2.2 蠕虫病毒原理
蠕虫病毒一般攻击分为以下最后几个步骤:首先是扫描,由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可攻击的对象;得到可攻击对象之后,就采取攻击,攻击模块按漏洞攻击步骤自动攻击扫描到的对象,取得该主机的权限,为复制模块做准备;最后的步骤就是复制,复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。蠕虫病毒就在不断重复这个过程,使得校园网中受感染的计算机成倍增加。
2.3 蠕虫病毒防范策略