[网络攻击事件]网络中心声明 数字印院声明

（数字印院4月13日独家报道）经过多日的调查，数字印院和网络中心已经得到了众多关于此次网络攻击事件的相关信息，目前已经有能力查出使用违规软件进行网络控制的人员的真实信息，但是本着教育广大同学，构建和谐校园的目的，网络中心并没有打算直接与这些同学沟通，希望能通过通知的形式让这些同学自觉维护网络运行环境，删除有关软件并停止传播此种控制软件的方法。我们也希望同学们能和我们一起共同维护良好的上网秩序，希望您在看到这篇文章之后能把全文或者链接地址发到您所在班级、社团、组织的QQ群中，让更多的人加入我们的行列，您也可以将您所掌握的危害校园网环境的信息发送给我们，我们会及时与网络中心联系。学校邮箱用户请发送至 [email protected] 其他邮箱用户请发送到 [email protected]

关于禁止使用网管软件的通知（2007年4月13日）

　　最近，我中心发现部分校园网用户（主要是10.64网段）使用违规的网管软件在局域网内进行扫描、嗅探，并严重挤占网络带宽，造成其他用户不能正常上网，已违反《北京印刷学院校园网安全保护管理暂行办法》。
　　这类违规的网管软件属于黑客软件，禁止在校园网使用。如果发现，按我院相关规定进行严肃处理，请广大校园网用户及时停止使用这类软件，以营造一个和谐、健康的校园网环境。

————教学技术与网络中心

数字印院关于构造和谐上网环境的声明

    校园网是全校师生进行正常教育、教学、学习所必需的硬件条件，学校也积极购置设备、拓宽带宽以达到让网络更快捷的目的。但是近日通过同学们举报和网络监控我们发现，有部分同学使用违规软件控制其他校园网用户网速来达到让自己快速访问的目的，此举不仅违反了学校有关规定，也违反了国家关于互联网使用的相关法律法规。我们呼吁每一位同学都能在使用网络的同时维护网络的正常秩序，抵制不良信息、禁用违规软件，让校园网真正成为我们生活、工作、学习的助手。

——数字印院

     此外，网络中心向数字印院记者介绍了目前网络中心使用的流量监控设备，通过监控发现在今天上午10点35分左右，一个来自10.64.63的IP地址占用了约70Mbps的带宽，约合下载速度9M/s，是学校总出口带宽的70%，另外一位在图书馆阅览室上网的用户也占用了大约4%左右带宽进行下载。可以看到，每一个上网用户的IP地址以及登录时使用的学号和正在占用带宽数量都在网络中心的监控之下。

    4月13日，网络中心也公布了3月1日至4月12日累计流量前十名的网络用户的学号：

用户账号      流量总计
033020122    167,791.62Mb
023010234    160,253.56Mb
046010433    132,569.79Mb
045020119    127,058.75Mb
035010823    122,411.81Mb
047010124    120,482.58Mb
046010333    103,778.42Mb
046010428    99,775.33Mb
033010105    97,164.07Mb
050620108    90,772.60Mb

    其中排在冠军位置的同学1个多月的时间累计下载超过160G的内容，长期大量占用网络带宽也成了造成网速缓慢的原因之一，所以我们也呼吁广大同学能够合理使用网络资源，不要大量长时间占用带宽，让学校里每个人都能享受校园网的便捷。

中共中央总书记胡锦涛在政协民盟民进联组会上关于树立社会主义荣辱观的讲话中提出："
以热爱祖国为荣、以危害祖国为耻，
以服务人民为荣、以背离人民为耻，
以崇尚科学为荣、以愚昧无知为耻，
以辛勤劳动为荣、以好逸恶劳为耻，
以团结互助为荣、以损人利己为耻，
以诚实守信为荣，以见利忘义为耻，
以遵纪守法为荣、以违法乱纪为耻，
以艰苦奋斗为荣、以骄奢淫逸为耻。

无论清华，还是印刷，此事充分说明了，在校园网建设中，硬件设备因为种种原因缩水，或者错误的规划设计的害处有多么大。

IBM公司在全球有n万员工，就没有什么事
各大isp中，教育网质量最差，收费最高，利润最低，这就是所谓人的问题

arp最近很麻烦,TNND破交换机没楼上说的那功能(神州数码的破东西7208..),搞得很郁闷ARP这事掉烦人~~而且是小任同学说的第二种,纯属捣蛋的~[ 2007-05-17 22:24:52 0000 修改 ]

记得6500上面有防火墙模块不?

可以根据每个vlan进行防火墙设置

如果发狠，就把10段的vlan分小点，然后加上苛刻的规则，就一切搞定，不过估计需要1个月的工程量呵呵

现在在学校大家都上不了了~~~倒也好,也就没有骂学校的了~~

arp最近很麻烦,TNND破交换机没楼上说的那功能(神州数码的破东西7208..),搞得很郁闷

ARP这事掉烦人~~而且是小任同学说的第二种,纯属捣蛋的~ [ 2007-05-17 22:24:52 0000 修改 ]

另外，带宽管理是很麻烦的
呵呵，大家还是别疯狂下东西了，下什么需要什么和FTP管理员说一下就好。
至于M片，嘿嘿，嘿嘿……都没有什么办法的呵呵

"ARP欺骗"病毒肆虐 百余宿舍网络端口被封 [From CNBETA.com]清华大学李同学反映:我住在学校紫荆公寓5号楼,从4月份开始,宿舍网速就变得非常慢,而且电脑总出现死机现象.开始我以为是电脑出了问题,但后来发现舍友和其他..

在交换机上关闭arp代理即可
如cisco

no arp-proxy

如何清除局域网中的ARP病毒
http://www.cnbeta.com/articles/26552.htm
作者:陈静@金山毒霸
现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰.下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料.

ARP病毒的症状

有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。

ARP攻击的原理

ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。

处理办法

通用的处理流程

1.先保证网络正常运行

方法一：编辑一个***.bat文件内容如下：

arp.exe s
**.**.**.**（网关ip） ****
**
**
**
**（
网关MAC地址）
end

让网络用户点击就可以了!

办法二：编辑一个注册表问题，键值如下：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MAC"="arp s
网关IP地址网关MAC地址"

然后保存成Reg文件以后在每个客户端上点击导入注册表。

2.找到感染ARP病毒的机器

a、在电脑上ping一下网关的IP地址，然后使用ARP －a的命令看得到的网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址对应的电脑。

b、使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。

c、使用MAC地址扫描工具，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。

预防措施

1、及时升级客户端的操作系统和应用程式补丁；

2、安装和更新杀毒软件。

3、如果网络规模较少，尽量使用手动指定IP设置，而不是使用DHCP来分配IP地址。

4、如果交换机支持，在交换机上绑定MAC地址与IP地址。（不过这个实在不是好主意,尤其是对于校园网）

"ARP欺骗"病毒肆虐 百余宿舍网络端口被封 [From CNBETA.com]
清华大学李同学反映:我住在学校紫荆公寓5号楼,从4月份开始,宿舍网速就变得非常慢,而且电脑总出现死机现象.开始我以为是电脑出了问题,但后来发现舍友和其他宿舍同学的电脑都不同程度出现这种情况.因为网速慢,许多需要用邮件交作业的同学,都要跑到学校外面的网吧上网.我每次网上提交申请出国的手续都要反复许多次才能成功,耽误了不少时间.不知道学校校园网中的电脑病毒什么时候能够治愈?

记者核实:清华大学的校园BBS上,有多名同学抱怨学校宿舍网速太慢,并频频出现掉线现象.引起这种现象的是一种名为“ARP欺骗”的电脑病毒.从4月10日起,已经陆续有100多个宿舍网络端口被封闭,给学生们的正常上网带来了影响.

清华大学网管会服务组工作人员回复:一个物理端口受到“ARP病毒”攻击,整个IP地址段内的电脑都会无法上网,一个IP地址段最多有200多个用户,从4月份开始,学校累计已经超过万台电脑受到了影响,给学生生活和学习,以及教师的办公都带来了很大影响.

清华大学网络中心工作人员回复:这种病毒2006年首次在清华大学出现.到2006 年年底,病毒已经演变成了十几个变种,不仅造成局域网的通信故障,还会截取局域网内所有的通讯数据.为防止病毒肆虐,去年寒假期间,对学校44栋学生宿舍楼进行了大规模的联合查杀,查杀之后,病毒消失了一段时间,但今年4月份开始又卷土重来.只要有一台电脑受到病毒感染,病毒就会通过网络的物理端口,感染给局域网内的其他电脑.现在只能是发现中毒端口便立即封闭,但这种封闭都有一定的期限,是为了防止病毒的蔓延,封闭期间这些宿舍学生不能上网.

请XEL转告相关部门，增加如下代码就可以避开baidu或者google的spider了：robots.txtUser-agent: *Disallow: /[ 2007-04-21 08:53:11 W3C愤怒者 修改 ]

这条对google或者sogou有用
但是对于baidu这种不遵守搜索协议的spider怎么办呢？ [ 2007-04-23 21:36:54 suchasplus 修改 ]

请XEL转告相关部门，增加如下代码就可以避开baidu或者google的spider了：robots.txtUser-agent: *Disallow: /[ 2007-04-21 08:53:11 W3C愤怒者 修改 ]

ok.
我让秋月姐姐看一下。

我在学校的时候也是白天晚上，一天几乎24小时在线，人在的时候打游戏，睡觉的时候就下载，白天确实比晚上卡很多

[em046]请XEL转告相关部门，增加如下代码就可以避开baidu或者google的spider了：

robots.txt

User-agent: *
Disallow: /

[ 2007-04-21 08:53:11 W3C愤怒者 修改 ]

baidu挺牛×啊

不是百度牛B，是学校做网络部门没有对搜索引擎做相应的策略，作为学校的有些关键的数据文件，放在服务器上是要做策略的，当baidu的spider到学服务器上抓取网页的时候，给spider一个友好的拒绝信息，在进行超链接分析的时候自动就过滤掉了，那也就不会出现这样的情况了。

看来你不了解学校

我在校的时候也下载呀，可是我们都是白天下载晚上他们刷魔兽，网速慢！

拿着学号，Baidu一下，名字就都有了

baidu挺牛×啊

看来你不了解学校

对啊！他在康庄校区，他不占用学校的资源，你觉得他该占用哪里的资源！这哥们是个下狂人～～我是真他妈的的服了他了

康庄下载东西也会影响本校的网速？
康庄不是单拉的线吗？

那它应该在康庄？怎么会占用学校的资源呢？

对啊！他在康庄校区，他不占用学校的资源，你觉得他该占用哪里的资源！
这哥们是个下狂人～～
我是真他妈的的服了他了

我还说一句：记得以前我们同学以为学校网络会收费在教务处网站上随便搜一些学号，在看他的身份证号然后上网，简单的要死。所以那个流量的事有点假，有人盗用很可能！

这哥们是我们班的！～～

那它应该在康庄？怎么会占用学校的资源呢？

拿着学号，Baidu一下，名字就都有了

以后在论坛首页弄一个校内流量排行榜

033020122    出版传播与管理学院
023010234    出版传播与管理学院
046010433    出版传播与管理学院
045020119    设计艺术学院
035010823    设计艺术学院
047010124    出版传播与管理学院
046010333    出版传播与管理学院
046010428    出版传播与管理学院
033010105    出版传播与管理学院
050620108    出版传播与管理学院

联想到进行ARP攻击者...不由得~

ps:第九名不是爱上vivian的夫人么...怎么这么厉害.... [ 2007-04-16 22:19:01 suchasplus 修改 ]

能搞到学生数据的人真是太多了。
马甲！！！

秋月姐姐向来看不上我

呵呵，我跟姐姐说一声，让他多关照你~

强烈呼吁松柏开放察看IP是哪个C网的功能...20楼搞的跟我写的一样~ps:查不全也好意思写出来平生最忌恨乱泻隐私的人了

什么是IP？什么是C网？

秋月姐姐向来看不上我

强烈呼吁松柏开放察看IP是哪个C网的功能...
20楼搞的跟我写的一样~
ps:查不全也好意思写出来
平生最忌恨乱泻隐私的人了