主持人：各位老师，下午好。欢迎大家来参加我们的“校园网管理与安全论坛技术沙龙”。现在已经是第二期了，2007年年底做了802.13的第一期。非常感谢北大网络中心的老师和同事给我们提供了这么好的环境。《中国教育网络》为本次沙龙独家报道媒体。

　　以下为上海交大网络信息中心的姜开达老师的《上海交大ARP病毒的防范》主题报告实录(以下实录参照pdf文档阅读效果更好)。

　　姜开达：ARP欺骗应该是各个学校都会遇到的问题，而且现在越来越多的病毒木马都会利用ARP欺骗的手段，那么过去几年我们一直长期地在和它做斗争。这是我校的BBS，大家可以看到3月份时，ARP欺骗还是非常严重的，每天都会有学生和老师不停地报告有ARP欺骗。

　　ARP欺骗是一个长期的任务，我们在网络层面要对ARP欺骗进行全面检测。对用户来说，假如装有ARP防火墙，只能看到它自己的情况，只有网络中心才能看到整个校园网的情况，再有针对性地采取一些控制手段。ARP欺骗在一段时间内，可能主流的是ARP欺骗的流行病毒和相对固定的木马病毒，像3月初的比较流行，在此前是默默无闻的。那么这种主流的或爆发性的ARP病毒，我们可以在网络层采取一系列的措施。比如在路由器上采用网络控制或防火墙来进行一些控制，我校还使用了其他的一些技术，比如有些学校采用了(不清楚)欺骗的方式阻止这种病毒的大规模爆发，等一下我们看这方面的技术。

　　这是我校在检测ARP欺骗的一种方式，就是我们自己写扫描，然后来扫描这些ARP信息，从这些信息中我们可以看到哪些可能是ARP欺骗主机，这就需要一些智能分析。那么这就是同一个MAP地址对应多个IP地址，我们就会判断它大概就是一个ARP欺骗主机。我们通过程序对它进行控制，控制方法有很多种：

　　1、利用PCP来实现网络图片的定像，所有感染ARP欺骗的主机可以被看到，这些用户在访问网页时肯定会经过路由器，那么把流入和流出流量全部登记在一台机器上，都可以检测到，我就可以发一些TCP把用户的TCP连接做一个忠告，这样用户的浏览器就会弹出一些网页。我们也是通过弹出来让用户知道它感染了ARP病毒，我们可以这样进行一个告知，这种情况下，用户还是可以正常上网的，但是它会知道有问题。
　　2、这个页面可能是个木马，不仅是告知ARP欺骗用户，不仅仅是这类型的病毒，或者是有其他类型的病毒或者木马，都可以控制用户。像发邮件等等以前都做过，但是这套系统的效果还是很好的。

　　去年，我们详细地描述了一些技术手段，各位老师可以看一下。在有些时间，可能是需要立即将用户隔离出校园网，这在我们记录交换机上进行操作。因为情况比较复杂，有思科等等的交换机，有通过外部接口来控制，通过统一的接口来关闭感染用户的交换机端口，这是自动做的。因为我校有统一的数据库，记录了所有用户的IP、MAP、交换机地址以及端口号，这个做起来比较方便。在有些情况下，如果检测到有ARP欺骗，我们会通过这种接口将它隔离，这样就可以尽量减少其他用户的影响。2、3月时病毒的爆发原理、过程，我这里就不做过多的描述了。

　　目前主流的ARP欺骗，我们做了一个统计，3月初时，交大感染ARP欺骗的90%都是和磁碟机变种相关的。如果我们能够控制住磁碟机病毒的爆发，那么我们就有可能控制ARP病毒的爆发。我们在边界有一套系统，记录了所有的疏散流量，磁碟机病毒可以从大量的网站下载新的病毒，如果我们对这些网站进行一个配备，那么就可以了解到校内有多少的IP地址感染了磁碟机病毒，以及它的域名、IP地址是多少。我们只要分析一些磁碟机病毒的变种，就可以分析出它的运行会连接哪个网站，最开始连接时是一个网站，可能会有跳转，那么可能会下载很多的病毒，但如果我们控制了源头，把前面的这几个网站的连接切断，那么磁碟机病毒就不会下载几十个，这样它的危险就会大大降低。最开始，它本身可能没有太多的危险，它的危险都是从网上下载的那些文件。

　　我们这个检测报表可以和ARP的检测报表进行比对，有一个问题就是病毒连接的域名可能是相对固定的，域名相对的IP地址可能会变。上面这个网站的IP地址在19、24日都有变化，下面的网站19、22、25日都有变化，可能是在频繁变化中进行的。如果我们只是封掉IP地址的话，恐怕不能从根本上解决问题。那么我们如何控制爆发性的问题呢？

　　1、我们共享一系列的地址，如果感染上的话，我们就要改变它，可能会比较麻烦。
　　2、通过动态的协议，在其他地方做一个路由，在LINUX上做可能会比较方便，定时剪贴一系列的域名，对应的那些IP地址看看会不会有变化，如果有变化，我们再分发到校园网内，这样用户就没有办法正确地连接到那些病毒网站，只会在校园网上进行注册。
　　3、通过漏洞的方式，不需要人工干预。
　　4、可以把IP地址直接指定到我们的服务器上。

　　我可以把这些感染ARP病毒的网页定义在我的服务器上，如果用户从网上下载的不是木马，那么这种方式我们是可以做的，就是说可以控制这些IP地址的指向。我们在3月9号是通过路由来做控制的，以前每天都有超过5—10次的欺骗，但这样做了之后可以减少1、2次，最近两个礼拜没有发现ARP欺骗，但是有一个是我们在交换机上检测只能发现一部分ARP，并不是所有的ARP欺骗都能发现，但是我们的控制是有效果的。
　　谢谢。

　　问：你们重定向(音)的那套系统是你们自己开发的吗？稳定性如何？
　　答：是我们自己开发的，还是比较稳定的。
　　问：关于您的那篇文章是否可以发布一下？
　　答：可以的。
　　问：其他老师如果对系统感兴趣的话，可以联系您。
　　答：可以的，这套系统不仅是可以对付这些病毒，而且对木马或者其他爆发病毒的控制应该都是很有效果的。
　　问：以前冲击波杀手蠕虫爆发时，我们就使用了，它可以节省人力。
　　答：是的。
　　问：重定向之后好象就不能倒回去了。
　　答：我们自己做的时候是可以的。