局域網(wǎng)病毒的防范和處理

局域網(wǎng)病毒的防范和處理——用服培訓(xùn)文檔計算機(jī)病毒在網(wǎng)絡(luò)中泛濫已久，而其在局域網(wǎng)中也能快速繁殖，導(dǎo)致局域網(wǎng)計算機(jī)的相互感染，下面將為大家介紹有關(guān)局域網(wǎng)病毒的入侵原理及防范方法。局域網(wǎng)病毒入侵原理及現(xiàn)象局域網(wǎng)病毒的特點局域網(wǎng)病毒防范方法局域網(wǎng)病毒的診斷和處理局域網(wǎng)病毒入侵原理及現(xiàn)象先來剖析一下其網(wǎng)絡(luò)的基本結(jié)構(gòu)，中小型企業(yè)使用的辦公局域網(wǎng)不外乎計算機(jī)網(wǎng)絡(luò)應(yīng)用的一個分支，因此它離不開網(wǎng)絡(luò)的基本構(gòu)成形式。從本質(zhì)上來看，中小企業(yè)的網(wǎng)絡(luò)同樣是由一個個網(wǎng)絡(luò)節(jié)點站所組成的（也可以稱其為網(wǎng)絡(luò)上的一個個站點），站點就可以具體為網(wǎng)絡(luò)服務(wù)器和客戶機(jī)。計算機(jī)病毒可以通過各種途徑進(jìn)入到網(wǎng)絡(luò)中的一個站點（包括服務(wù)器），然后再通過局域網(wǎng)絡(luò)中的各種特定環(huán)境進(jìn)行傳播。具體地說，我們可以把它的傳播方式歸納為以下幾種。1.局域網(wǎng)資源共享感染病毒中小型企業(yè)組建的局域網(wǎng)很大的一部分用處是在共享資源方面，而正是由于共享資源的“數(shù)據(jù)開放性”，造就了病毒感染的有效渠道。2.服務(wù)器數(shù)據(jù)傳播病毒中小型企業(yè)不可能像花大成本構(gòu)建含“路由器”等高端網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)環(huán)境，很多工作都會丟給一臺普通PC代替的服務(wù)器去做，網(wǎng)絡(luò)中的客戶機(jī)可以通過服務(wù)器來和外界聯(lián)系，而客戶機(jī)自間的內(nèi)部郵件傳遞也可以通過服務(wù)器完成，但普通PC的性能特點，不可避免地在病毒面前有其脆弱性。一旦服務(wù)器感染病毒，所有需要經(jīng)過服務(wù)器的數(shù)據(jù)也會被順帶感染，進(jìn)而造成整個網(wǎng)絡(luò)感染病毒的情況。3.客戶機(jī)之間的數(shù)據(jù)傳遞攜帶病毒客戶機(jī)除了和服務(wù)器通訊之外，相互之間也需要進(jìn)行數(shù)據(jù)傳遞，如果其中一臺計算機(jī)感染病毒，在與另一臺客戶機(jī)傳遞數(shù)據(jù)時，勢必會將病毒帶給對方。4.客戶機(jī)帶動服務(wù)器染毒，進(jìn)而感染網(wǎng)絡(luò)中的其他客戶機(jī)這種形式可以說是綜合了前三種形式。網(wǎng)絡(luò)中的某一臺客戶機(jī)染毒，通過1、3種形式感染服務(wù)器，服務(wù)器再由第2種形式感染其他客戶機(jī)。如果企業(yè)使用的是“無盤工作站”形式，那么病毒的傳播將更為簡易。因為其“無盤”并非真的“無盤”（它的盤是網(wǎng)絡(luò)盤），當(dāng)其運行網(wǎng)絡(luò)盤上的一個帶毒程序時，便將內(nèi)存中的病毒傳染給該程序或通過映像路徑傳染到服務(wù)器的其他的文件上，因此整個“無盤”網(wǎng)絡(luò)就徹底地被病毒感染了。局域網(wǎng)病毒的特點知道了病毒的傳播方式，再來看看它的特點。在中小型企業(yè)網(wǎng)絡(luò)的特定環(huán)境下，病毒除了與生俱來的可傳播性、可執(zhí)行性、破壞性等常規(guī)病毒的共性外，還具有一些其他的特點：1.感染速度快病毒的傳播必須要一定的途徑，在完全封閉的單機(jī)情況下，病毒是無法從一臺計算機(jī)傳給另一臺計算機(jī)的。不過在企業(yè)簡單的網(wǎng)絡(luò)環(huán)境下，病毒的傳播可以利用充分的介質(zhì)，通過簡單而快速的內(nèi)部網(wǎng)絡(luò)，病毒可以迅速地傳播，舉個例子：在常見的100M辦公網(wǎng)絡(luò)內(nèi)，只要有一臺工作站染毒，就可在幾十秒鐘內(nèi)將同一網(wǎng)絡(luò)中的數(shù)百臺計算機(jī)全部感染。2.擴(kuò)散面廣病毒感染了局域網(wǎng)中某一臺客戶機(jī)，而客戶機(jī)又可以進(jìn)一步感染網(wǎng)絡(luò)中的其他客戶機(jī)（也包括服務(wù)器），而感染了病毒的客戶機(jī)又可以更進(jìn)一步的感染更多客戶機(jī)（也包括了局域網(wǎng)以外的計算機(jī)）如此反復(fù)交叉感染，病毒在網(wǎng)絡(luò)中擴(kuò)散時，除了速度快以外，其擴(kuò)散范圍也相當(dāng)驚人。3.傳播的形式復(fù)雜多樣網(wǎng)絡(luò)內(nèi)病毒的傳播形式前面我們已經(jīng)做了介紹，這里就不再詳細(xì)說明，不過隨著計算機(jī)病毒的推陳出新，相信還會有更多的我們所無法預(yù)計的傳播形式。4.難于徹底清除單機(jī)上的計算機(jī)病毒有時可以通過殺毒和刪除帶毒文件來解決。如果還不行，低級格式化硬盤等措施總能將病毒徹底清除。而網(wǎng)絡(luò)中只要有一臺工作站未能清除干凈，就可使整個網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成殺毒工作的一臺工作站，就有可能被網(wǎng)上另一臺帶毒工作站所感染。因此，以對付單機(jī)形式的殺毒方法，在局域網(wǎng)內(nèi)會顯得捉襟見肘，心有余而力不足。5.破壞性大中小型企業(yè)的辦公網(wǎng)絡(luò)，主要就是為企業(yè)的工作服務(wù)。受到病毒襲擊后，不但影響網(wǎng)絡(luò)正常的工作，而更可怕的是它會使網(wǎng)絡(luò)崩潰，破壞網(wǎng)絡(luò)中計算機(jī)的數(shù)據(jù)，使工作成果毀于一旦。6.可激發(fā)性它可以稱得上是病毒的隱蔽性在網(wǎng)絡(luò)上的延伸，網(wǎng)絡(luò)病毒激發(fā)的條件多樣化，可以是內(nèi)部時鐘、系統(tǒng)的日期和用戶名，也可以是網(wǎng)絡(luò)的一次通信等等。一個病毒程序可以按照病毒設(shè)計者的要求，在某個工作站上爆發(fā)，并傳播給整個網(wǎng)絡(luò)。7.潛在性在網(wǎng)絡(luò)中，一旦感染了病毒，即使病毒已被清除，其潛在的危險性也是巨大的。根據(jù)對企業(yè)的網(wǎng)絡(luò)統(tǒng)計，病毒被清除后，85%的會在30天內(nèi)會被再次感染。案例例如尼姆達(dá)病毒，會搜索本地網(wǎng)絡(luò)的文件共享，無論是文件服務(wù)器還是終端客戶機(jī)，一旦找到，便安裝一個隱藏文件，名為Riched20.DLL到每一個包含"DOC"和"eml"文件的目錄中，當(dāng)用戶通過Word、寫字板、Outlook打開"DOC"和"eml"文檔時，這些應(yīng)用程序?qū)?zhí)行Riched20.DLL文件，從而使機(jī)器被感染，同時該病毒還可以感染遠(yuǎn)程服務(wù)器被啟動的文件。帶有尼姆達(dá)病毒的電子郵件，不需你打開附件，只要閱讀或預(yù)覽了帶病毒的郵件，就會繼續(xù)發(fā)送帶毒郵件給你通訊簿里的朋友。企業(yè)還在使用單機(jī)版殺毒軟件來防御病毒的同時，病毒卻在以多種形式借助局域網(wǎng)迅速傳播，它們攻擊客戶端、服務(wù)器、網(wǎng)關(guān)，幾乎無孔不入，不夸張地說，輕而易舉地就可以使整個局域網(wǎng)陷于癱瘓，難道我們真的要坐已待斃嗎？局域網(wǎng)病毒防范方法以"尼姆達(dá)"病毒為例，個人用戶感染該病毒后，使用單機(jī)版殺毒軟件即可清除；然而企業(yè)的網(wǎng)絡(luò)中，一臺機(jī)器一旦感染"尼姆達(dá)"，病毒便會自動復(fù)制、發(fā)送并采用各種手段不停交叉感染局域網(wǎng)內(nèi)的其他用戶。計算機(jī)病毒形式及傳播途徑日趨多樣化，因此，大型企業(yè)網(wǎng)絡(luò)系統(tǒng)的防病毒工作已不再像單臺計算機(jī)病毒的檢測及清除那樣簡單，而需要建立多層次的、立體的病毒防護(hù)體系，而且要具備完善的管理系統(tǒng)來設(shè)置和維護(hù)對病毒的防護(hù)策略。一個企業(yè)網(wǎng)的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。1.增加安全意識杜絕病毒，主觀能動性起到很重要的作用。病毒的蔓延，經(jīng)常是由于企業(yè)內(nèi)部員工對病毒的傳播方式不夠了解，病毒傳播的渠道有很多種，可通過網(wǎng)絡(luò)、物理介質(zhì)等。查殺病毒，首先要知道病毒到底是什么，它的危害是怎么樣的，知道了病毒危害性，提高了安全意識，杜絕毒瘤的戰(zhàn)役就已經(jīng)成功了一半。平時，企業(yè)要從加強(qiáng)安全意識著手，對日常工作中隱藏的病毒危害增加警覺性，如安裝一種大眾認(rèn)可的網(wǎng)絡(luò)版殺毒軟件，定時更新病毒定義，對來歷不明的文件運行前進(jìn)行查殺，每周查殺一次病毒，減少共享文件夾的數(shù)量，文件共享的時候盡量控制權(quán)限和增加密碼等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。2.小心郵件隨著網(wǎng)絡(luò)的普及，電子信箱成了人們工作中不可缺少的一種媒介。它方便快捷在提高了人們的工作效率的同時，也無意之中成為了病毒的幫兇。有數(shù)據(jù)顯示，如今有超過90％的病毒通過郵件進(jìn)行傳播。盡管這些病毒的傳播原理很簡單，但這塊決非僅僅是技術(shù)問題，還應(yīng)該教育用戶和企業(yè)，讓它們采取適當(dāng)?shù)拇胧Ｖ灰脩綦S時小心警惕，不要打開值得懷疑的郵件，就可把病毒拒絕在外。3.挑選網(wǎng)絡(luò)版殺毒軟件選擇一個功力高深的網(wǎng)絡(luò)版病毒"殺手"就至關(guān)重要了。一般而言，查殺是否徹底，界面是否友好、方便，能否集中管理是決定一個網(wǎng)絡(luò)殺毒軟件的三大要素。局域網(wǎng)病毒的診斷和處理局域網(wǎng)病毒的診斷局域網(wǎng)病毒的處理單機(jī)病毒的處理WINPE的使用快速找出局域網(wǎng)中病毒源頭在局域網(wǎng)環(huán)境中上網(wǎng)的朋友會經(jīng)常碰到無故斷線的情況，并且檢查電腦也檢查不出什么原因。其實出現(xiàn)這種情況，大部分情況下都是局域網(wǎng)中的某一臺電腦感染了ARP類型的病毒所至。感染病毒，電腦一一殺毒，電腦過多的情況下顯然很費時費力?，F(xiàn)在就告訴你這三招兩式，快速找出局域網(wǎng)中的“毒瘤”。ARP：AddressResolutionProtocol的縮寫，即地址解析協(xié)議。ARP負(fù)責(zé)將電腦的IP地址轉(zhuǎn)換為對應(yīng)的物理地址，即網(wǎng)卡的MAC地址。當(dāng)發(fā)生ARP欺騙時，相關(guān)主機(jī)會收到錯誤的數(shù)據(jù)，從而造成斷網(wǎng)的情況發(fā)生。一、查看防火墻

日志局域網(wǎng)中有電腦感染ARP類型病毒后，一般從防火墻的日志中可以初步判斷出感染病毒的主機(jī)。感染病毒的機(jī)器的典型特征便是會不斷的發(fā)出大量數(shù)據(jù)包，如果在日志中能看到來自同一IP的大量數(shù)據(jù)包，多半情況下是這臺機(jī)器感染病毒了。這里以NokiaIP40防火墻為例，進(jìn)入防火墻管理界面后，查看日志項，在“EventLog”標(biāo)簽下可以明顯看到內(nèi)網(wǎng)中有一臺機(jī)器不斷的有數(shù)據(jù)包被防火墻攔截，并且間隔的時間都很短。目標(biāo)地址為公司W(wǎng)EB服務(wù)器的外網(wǎng)IP地址，設(shè)置過濾策略時對WEB服務(wù)器特意加強(qiáng)保護(hù)，所以可以看到這些項目全部是紅色標(biāo)示出來的。到WEB服務(wù)器的數(shù)據(jù)包被攔截了，那些沒有攔截的數(shù)據(jù)包呢？自然是到達(dá)了目的地，而“目的”主機(jī)自然會不間斷的掉線了。

由于內(nèi)網(wǎng)采用的DHCP服務(wù)器的方法，所以只知道IP地址還沒有用，必須知道對應(yīng)的MAC地址，才能查到病毒源。我們可以利用NBTSCAN來查找IP所對應(yīng)的MAC地址。如果是知道MAC地址，同樣可以使用NBBSCAN來得到IP地址。由此可見，防火墻日志，有些時候還是可以幫上點忙的。如果沒有專業(yè)的防火墻，那么直接在一臺客戶機(jī)上安裝天網(wǎng)防火墻之類的軟件產(chǎn)品，同樣能夠看到類似的提醒。二、利用現(xiàn)有工具如果覺得上面的方法有點麻煩，且效率低下的話，那么使用專業(yè)的ARP檢測工具是最容易不過的事了。這里就請出簡單易用，但功能一點也不含糊的ARP防火墻。ARP防火墻可以快速的找出局域網(wǎng)中ARP攻擊源，并且保護(hù)本機(jī)與網(wǎng)關(guān)之間的通信，保護(hù)本機(jī)的網(wǎng)絡(luò)連接，避免因ARP攻擊而造成掉線的情況發(fā)生。軟件運行后會自動檢測網(wǎng)關(guān)IP及MAC地址并自動保護(hù)電腦。如果軟件自動獲取的地址有錯誤，可單擊“停止保護(hù)”按鈕，填入正確的IP地址后，單擊“枚取MAC”按鈕，成功獲取MAC地址后，單擊“自動保護(hù)”按鈕開始保護(hù)電腦。當(dāng)本機(jī)接收到ARP欺騙數(shù)據(jù)包時，軟件便會彈出氣泡提示，并且指出機(jī)器的MAC地址。單擊“停