[或许是清华大学某人写的,自从ARP问题被某女生"出卖"给新京报之后(猜的...)----XcT]
本人不对此文章作任何评价...虽然ARP病毒不是个新名词,但是至今仍在不少校园网内横行。当然杀毒,防御是一种手段。但是如果换种思路很可能就会较为轻松的彻底解决。当然这还是有一定前提条件的,即你所在的校园网是要使用锐捷等软件认证后才能访问网络。因为大多数校园网使用的多为锐捷,下以锐捷为例:
制作统一版本的客户端(比如都必须使用锐捷2.56),然后在服务端打开“完整性校验”即可。
它的原理是利用目前几乎所有的ARP病毒都有一个毛病,就是修改本机EXE文件的行为。那既然EXE文件被修改,那锐捷客户端的完整性就被破坏了,从而导致登录认证失败,连不上网络。如果用户反复登录10次,将被列入黑名单,这样在客户端就会提示“用户名或密码错误”。因为感染ARP病毒的机器连不上网络,因此就无法对所在局域网展开攻击,影响到其他人;再者因为帐户被列入黑名单学生必须到网络中心手动解封,从而也便于网络维护老师准确定位下边局域网谁感染了病毒。同时因为打开完整性校验,这样也同时封禁了非法代理服务器和非法客户端,更加利于网络的管理。
这种方案不仅适用与锐捷,凡是上网认证系统带“完整性校验”功能的均可采用。
当然该方法的局限性也很明显,就是如果攻击者不是中了病毒,而是蓄意攻击了,窃取同学数据了?比如使用执法官或者直接的ARP攻击软件。所以还是需要搭配ARP防火墙类软件,发现攻击者立即报告给学校网络中心(一般提供IP或网关即可),协助学校进行处理。但是校园网用户千万不要打开主动防御模式,这样将会导致更大规模的校园网用户集体掉线。
通过两种方法的配合,在经过一段运行测试后,断网的报告电话由过去的最初每天几乎时刻不断,降为现在的几乎每天一个没有。各位被断网搞的很郁闷的同学,可以向网络中心老师建议一下。
[ 此贴被mmmsxc在2007-05-18 00:08重新编辑 ]
