可怕的ARP病毒变种
作者:Alex 日期:2008-01-08
今天下午照例来到实验室,打开多个校内网站,发现网页的第一句都被加上了"hxxp://al.99.vc/1.js"的恶意代码。半年的网管经验告诉我,局域网内又有人中了ARP病毒了,果然,一抓包发现局域网内的ARP包在每秒100个左右。经过安装ARP防火墙和用ARP -S命令绑定以后,本机症状有所缓解,但局域网内还有那么多机器,作为网管是不能不管的,得找到毒源!
由于系网没有进行IP绑定,因此无法通过IP或者MAC查找机器来源,况且ARP包的MAC和IP都有可能是伪造的。于是找好采用笨办法,依次拔掉楼层交换机在核心交换机上的进线,为了可靠起见,还特意用本本接在核心交换机上测试。奇迹发生了,竟然当我拔掉所有的线之后,并且重启核心交换机,网络居然从慢变成了不通,本本的网关是经过ARP -S绑定的,照例不应该是被之前欺骗有缓存的原因。最后实在没办法怀疑上级网关出问题了。打电话给校网中心,检查是好的。这下郁闷了,只好耐心继续检查网线,唉,这网管还真不好当。
无奈之下,我把网线全部插上,网络恢复到缓慢低效运行的状态,这次我一个一个地来,先把最大的家伙判断了再说,它就是核心交换机下下挂的一个二级核心交换机,所有楼层交换机都挂在这上面,没想到一拔掉它到核心交换机上的进线,网络居然又不通了!神奇的事情!虽然神奇,但问题肯定在它!于是,接上二级核心交换机,依次它上面的线,当拔掉二楼的第一个交换机的进线时,网络又完全不通了!问题找到了,但又没法解决,更郁闷!因为拔了都没法上网了,百思不得其解。无奈地从凳子上下来,在办公室转了一圈,无意中看到一台加-t参数ping网关的服务器居然正常了!再看本本,居然也正常了。办公室的其它电脑不正常,把本地连接重启一下,OK!
由于这个病毒的迷惑性太大,而对系网核心设备不是很熟悉,甚至一度怀疑二级核心是一级核心交换机,导致了处理的延后。在信息社会的今天,断网几个小时就像停电几个小时一样可怕,系楼很多老师的手头工作停滞,打电话来办公室询问原因,那时真想把这个病毒制造者给揪出来暴打一顿!
ARP病毒日新月异的发展的确害苦了没条件绑定IP的局域网管理员,从去年的仅仅拖慢网速到网络瘫痪到现在的症状不随在网电脑去除而立即消失,危害越来越大,迷惑性也越来越大,想一劳永逸地绑定IP又苦于没有硬件条件,而楼内同学的杀毒意识又不强,去该交换机所属的几个房间去询问,居然一个个都信誓旦旦地说不是他们,办公室严下班关门了,没办法,为了整个楼的用网安全,今天只好先委屈这整个交换机下的用户了,城门失火,殃及池鱼,在此向无辜者道歉。唉,我这个无奈的网络管理员任重而道远啊!
由于系网没有进行IP绑定,因此无法通过IP或者MAC查找机器来源,况且ARP包的MAC和IP都有可能是伪造的。于是找好采用笨办法,依次拔掉楼层交换机在核心交换机上的进线,为了可靠起见,还特意用本本接在核心交换机上测试。奇迹发生了,竟然当我拔掉所有的线之后,并且重启核心交换机,网络居然从慢变成了不通,本本的网关是经过ARP -S绑定的,照例不应该是被之前欺骗有缓存的原因。最后实在没办法怀疑上级网关出问题了。打电话给校网中心,检查是好的。这下郁闷了,只好耐心继续检查网线,唉,这网管还真不好当。
无奈之下,我把网线全部插上,网络恢复到缓慢低效运行的状态,这次我一个一个地来,先把最大的家伙判断了再说,它就是核心交换机下下挂的一个二级核心交换机,所有楼层交换机都挂在这上面,没想到一拔掉它到核心交换机上的进线,网络居然又不通了!神奇的事情!虽然神奇,但问题肯定在它!于是,接上二级核心交换机,依次它上面的线,当拔掉二楼的第一个交换机的进线时,网络又完全不通了!问题找到了,但又没法解决,更郁闷!因为拔了都没法上网了,百思不得其解。无奈地从凳子上下来,在办公室转了一圈,无意中看到一台加-t参数ping网关的服务器居然正常了!再看本本,居然也正常了。办公室的其它电脑不正常,把本地连接重启一下,OK!
由于这个病毒的迷惑性太大,而对系网核心设备不是很熟悉,甚至一度怀疑二级核心是一级核心交换机,导致了处理的延后。在信息社会的今天,断网几个小时就像停电几个小时一样可怕,系楼很多老师的手头工作停滞,打电话来办公室询问原因,那时真想把这个病毒制造者给揪出来暴打一顿!
ARP病毒日新月异的发展的确害苦了没条件绑定IP的局域网管理员,从去年的仅仅拖慢网速到网络瘫痪到现在的症状不随在网电脑去除而立即消失,危害越来越大,迷惑性也越来越大,想一劳永逸地绑定IP又苦于没有硬件条件,而楼内同学的杀毒意识又不强,去该交换机所属的几个房间去询问,居然一个个都信誓旦旦地说不是他们,办公室严下班关门了,没办法,为了整个楼的用网安全,今天只好先委屈这整个交换机下的用户了,城门失火,殃及池鱼,在此向无辜者道歉。唉,我这个无奈的网络管理员任重而道远啊!
