一、现象及机理：
    近来,部分用户反映某时间段内,网络频繁出现异常。具体表现为网络时通时断、网速下降、Ip地址冲突、打开网页出现错误提示等等。通过网络中心技术人员深入分析，发现原因是用户网段内有一台或多台计算机感染了新的网络蠕虫病毒所致。
    这种新的蠕虫病毒发作后的侵染方式一改常态,选择了更低层的网络协议--ARP协议。
    ARP协议即地址解析协议，是将IP地址与网络物理地址一一对应的协议。负责IP地址和网卡物理地址(MAC)之间的转换。是网络通信重要的协议之一,ARP协议存在设计缺陷,因为它会信任所有的ARP数据包。
    这种新的蠕虫病毒机理是以多线程的方式每秒数包甚至上百包的速度在网内发包。从发包方向上看有两种情况：一是向同网段内的所有在线计算机发送ARP广播问询包,这种包发送一般很密集,产生大量的ARP通信量导致网络阻塞，从而使网络带宽“缩水”,导致同段内网络速度急剧变慢；二是向病毒宿主机所在的网关和同段内的所有在线计算机发送单播应答包,这是一种带有欺骗性质的应答包,欺骗用户网关，但因为ARP的缺陷,目标计算机会无条件接收欺骗的应答包,而这正是造成网络软故障的原因所在。
    二、建议:
    1、用户要及时给计算机系统安装系统补丁程序。下载地址：http://sus.sdut.edu.cn/
    2、安装防毒软件和防火墙并及时更新病毒库，增强个人计算机防御计算机病毒的能力。
    3、一定要设置系统登陆密码,防止网络病毒蠕虫病毒轻易试探侵入,密码位数也要复杂一些。
    4、使用U盘进行数据交换前，先对其进行病毒检查。
    5、做好系统和重要数据的备份，以便能够在遭受病毒侵害后及时恢复。
    6、不要随便共享文件和文件夹，即使要共享，应先设置好权限，一般指定特定帐号或特定机器才能访问，另外不建议设置可写或可控制权限。
    三、措施：
    1、网络中心在全网中查找病毒宿主机，一旦发现将停止网络连接，望用户配合做好病毒查杀或重装系统，再申请恢复网络连接。
    2、实施用户IP与MAC的绑定，这对使用同一IP互换网卡或主机的用户将带来不便。
    3、近期,网络中心会推出一个自主版权的ARP防火墙软件,敬请期待。

 

网络信息中心
2007年6月13日