執行個體講解之校園網病毒該如何剷除

來源:互聯網
上載者:User

筆者負責區教育網路資訊中心的網路維護工作已經有很多年,平時主要承擔各個下屬中小學的網路故障排查,安全防範及支援人員工作,在日常工作中經常會遇到為學校遠程查殺網路病毒的事情。面對校園網病毒筆者也有一套自己的解決方案,今天筆者就從執行個體出發為各位IT168的讀者講解校園網病毒該如何剷除,希望通過本文可以協助更多的學校網路管理教師事半功倍的維護學校內部網路,將病毒徹底掃出學校大門。

一,校園網感染病毒特點:

一般來說學校內部電腦都很多,而且隨著校園網的建立各個學校教師用機,機房學生用機都可以順利串連網路並通過伺服器或路由器轉寄串連外網。所以在感染病毒方面多以網路型病毒為主,一般的檔案型,單一型病毒很難在學校內部網路徹底爆發,即使爆發也只會影響一台兩台電腦,大多數情況下網路系統管理員直接恢複系統即可解決。

因此一般來說學校感染的病毒多以網路型特別是蠕蟲類病毒為主,在傳播上威力非常大,雖然按照北京市教育委員會的要求每個公立學校都購買了正版殺毒軟體,但是瞭解網路安全和系統安全的讀者都知道,僅僅有殺毒軟體是遠遠不夠的,姑且不說殺毒軟體殺毒能力如何,就算能夠徹底查殺,如果自己的系統相應漏洞沒有及時安裝彌補的話,遲早也會被漏洞型破壞入侵。這點在學校網路中特別明顯,危害大的感染大的都屬於漏洞型病毒。

綜合兩點在校園網中存活的最主要病毒屬於漏洞型蠕蟲,一方面他的爆發會導致全學校網路的徹底癱瘓,另一方面針對這類病毒查殺也是非常困難的。漏洞型病毒需要針對學校每台電腦安裝系統補丁或軟體更新,蠕蟲則要針對學校每台電腦進行檢測,找到病毒根源,而實際中往往多台電腦都成為毒源頻繁發送病毒資料包影響其他電腦。

二,執行個體講解校園網病毒清除全過程:

正巧最近筆者遇到了一位網路管理教師的求救,希望筆者可以通過遠程針對其內網進行掃描和檢測,該學校內網具體現象如下——內網除了伺服器外所有教師電腦和機房電腦都無法順利上網,全學校網路中斷。筆者遠程可以登入到該學校伺服器上,從伺服器下手針對內網進行檢測和掃描。

第一步:關閉路由交換裝置上的存取控制清單,從區資訊中心遠端連線有問題學校的伺服器。(如圖1)

第二步:最好的檢測內網故障就是通過類sniffer工具來完成,筆者決定使用科來網路分析系統來解決,由於伺服器可以上網所以筆者下載該系統安裝包並指定針對網卡1進行監控。(如圖2)

第三步:掃描監控所有資料包,在左邊尋找資料包處按照協議來瀏覽,查看ARP資訊,因為在學校最容易出現的就是ARP欺騙蠕蟲了,而且這個學校的故障癥狀也是全學校電腦無法上網,很可能就是虛假網關造成的問題。在ARP資料包下筆者查看“診斷”標籤下的資訊,在這裡看到了有幾個MAC地址對應的主機發送了太多的ARP請求資料包而沒有得到應答。(如圖3)

小提示:

由於感染ARP欺騙病毒的資料包會頻繁向內網發送廣播資料包以及單點資料包,目的地址是內網所有IP,所以當該IP沒有對應活動主機時就會產生無應答的現象,這也是ARP欺騙病毒的一個顯著特徵。

第四步:記錄下太多的ARP請求資料包而沒有得到應答電腦的源地址——MAC地址,筆者一共發現了有三台這樣的電腦,MAC地址依次是001e8c0218a3,001d60fca3da,001d60fca01c。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。