ARP欺骗解决方案文档格式.docx

1、如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接

2、从ARP缓存表里查找就可以了。 ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 作为攻击源的主机伪造一个ARP响应包，此ARP响应包中的IP与MAC地址对与真实的IP与MAC对应关系不同，此伪造的ARP响应包广播出去后，网内其它主机ARP缓存被更新，被欺骗主机ARP缓存中特定IP被关联到错误的MAC地址，被欺骗主机访问特定IP的数据包将不能被发送到真实的目的主机，目的主机不能被正常访问。四、 ARP欺骗的症状 网络时断时通 网络中断，重启网关设备，网络短暂连通 内网通讯正常、网关不通； 频繁提示地址冲突； 硬件设

3、备正常，局域网不通； 特定IP网络不通，更换IP地址，网络正常； 禁用-启用网卡，网络短暂连通； 网页被重定向。五、 ARP欺骗解决方案： 方案A：IP-MAC绑定 通过双向IP-MAC绑定可以抵御ARP欺骗，解决由于ARP欺骗造成的网络掉线、IP冲突等问题，保证网络畅通。 1、客户机绑定网关IP-MAC：在客户机设置网关IP与MAC为静态映射，将如下内容复制到记事本中并保存为staticarp.reg，（网关IP、网关MAC根据实际情况填写，例：staticarp=arp s 192.168.0.1 00-01-02-03-04-05） Windows Registry Editor Ver

4、sion 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun arp s 网关IP 网关MAC 将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置，文件名为run.bat，（网关IP、网关MAC根据实际情况填写，例： each off regedit /s .runstaticarp.reg arp -s网关IP 网关MAC 双击运行run.bat 2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序将staticarp.reg、run.bat保存到同一文件夹下，登录Ahnlab P

5、licy Center Admin，服务器管理登录分发软件添加，选中保存staticarp.reg、run.bat的文件夹，中输入对所选择的文件夹压缩后生成的压缩文件的名称，中输入应用程序名称，中输入简单说明，中输入run.bat，单击。 Ahnlab Plicy Center Admin策略管理中选中需要分发的群组或客户机，点右键，紧急安全指令-分发，选中，选中要分发的软件，点击 3、网关绑定客户机IP-MAC：使用支持IP/MAC绑定的网关设备，在网关设备中设置客户机的静态IP-MAC列表。注：方案A可以抵御ARP欺骗，保证网络正常运行，但不能定位及清除ARP攻击源。 方案B：利用ARP命

6、令及nbtscan定位ARP攻击源 1、确定ARP攻击源MAC地址 ARP欺骗发作时，在受到ARP欺骗的计算机命令提示符下输入arp a，APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址，则为ARP攻击源的MAC地址，一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址；在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。 2、定位ARP攻击源计算机 已全网面署APC2.5的环境：在Policy Center Admin 2.5中，查找agent，查找ARP攻击源的MAC地址，定位攻击源计算机。未布署APC2.5的环境：运行Nbtscan MAC扫描器g

7、ui.exe，输入局域网IP地址范围，点击开始，显示局域网内IP、计算机名与MAC对应关系，查找ARP攻击源MAC对应的IP地址及计算机名，根据IP地址及计算机名定位攻击源计算机。Autorun病毒样例分析一、感染症状 1、每个盘符下生成隐藏文件autorun.inf 、auto.exe 2、在c:windowssystem32下生成30F3CB56.exe、A89F7741.DLL文件，其中A89F7741.DLL为病毒下载器 3、新增服务：651085B（c:windowssystem3230F3CB56.EXE） 4、更改注册表项HKEY_LOCAL_MACHINESOFTWAREMic

8、rosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue的值为0，阻止显示隐藏文件 5、下载木马病毒到c:windows、c:windowssystem32、 IE缓存等文件夹，病毒文件修改日期较新，无公司签名。Autorun病毒有若干变种，不同变种的autorun病毒下载的木马病毒文件也不相同；同一autorun病毒在不同时间、不同电脑感染时所下载的木马病毒也有可能不同，病毒发布者只需更换互联网上的木马病毒链接即可实现新木马病毒的快速传播，这也增加了杀毒软件全部查杀autorun病毒下载的所有木马病毒

9、的难度。 6、新增注册表启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrun二、手动清除 若V3不能全部查杀时，可按以下步骤手动处理： 1、重启系统按F5键进安全模式； 2、更改注册表项 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALLCheckedValue的值为1； 3、删除注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices65

10、1085B 4、更改文件夹选项，显示所有文件和文件夹 5、在各磁盘分区上点右键打开，将各分区下的auto.exe、autorun.inf文件备份后删除； 6、将c:windowssystem32文件夹中的文件按修改时间排序，在修改时间较新的文件中确认病毒文件，备份后删除； 7、将IE缓存文件夹中的文件按类型排序后，将可执行文件备份后删除； 8、删除注册表中病毒相关的启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun； 9、重新启动系统，确认各分区下未再次生成autorun.inf、auto.exe； 10、将备份的病毒

11、文件加密码virus压缩成zip格式发送到suppoort。三、Autorun病毒的预防 1、关闭自动播放 点“开始”“运行”，在对话框中输入“gpedit.msc” ，“确定”，在组策略“计算机配置”“管理模板”“系统”，双击“关闭自动播放”，在“设置”中选“已启用”，“关闭自动播放：所有驱动器”，确定； 2、在各磁盘分区、优盘分别建立名为autorun.inf、auto.exe的文件夹，阻止生成autorun.inf和auto.exe病毒文件； 3、培养良好的电脑使用习惯，使用“右键-打开”打开磁盘分区，从而避免双击打开优盘及磁盘分区时触发autorun病毒；对外来优盘、下载的文件查杀病毒

12、后再使用；避免访问非法网站、个人网站等危险站点。AV终结者病毒实例分析 1、 更改注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenType的键值为checkbox2，隐藏“文件夹选项”中的“隐藏受保护的操作系统文件”项，阻止显示系统属性的文件 2、在每个盘符下生成autorun.inf、icnskem.exe，并会下载VBurl.exe到C: 3、在C:program Files下生成meex.exe 4、在C:program FilesCommon File

13、sMicrosoft Shared下生成具有隐藏/系统属性的文件xoqommy.inf、tydfjbr.exe 5、在C:program FilesCommon FilesSystem下生成具有隐藏/系统属性的文件xoqommy.inf、amtrtpn.exe 6、增加amtrtpn.exe、tydfjbr.exe的启动项 7、添加注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Opeions ，实现映像劫持，阻止运行反病毒软件、系统分析/修复工具等工具软件 8、进程中有amt

14、rtpn.exe、tydfjbr.exe两个进程互相守护，结束其中任一进程时，任务管理器也同时被结束，待再次打开任务管理器时，被结束的进程已经再次运行。 9、下载病毒文件到C:Documents and SettingsAdministratorLocal SettingsTemp 10、下载病毒文件到 C:Documents and SettingsAdministratorLocal Settings Temporay Internet Files 11、下载病毒文件到C:windowsFonts文件 12、添加注册表项，使病毒注入Explorer.exe进程 13、修改系统时间为2001

15、年 二、手动清除 1.结束tydfjbr.exe和amtrtpn.exe进程任务管理器-进程选项卡-查看-选择列-勾上PID（进程标识符）新建文本文档killprocess.txt，内容如下：ntsd -c q -p PID1 ntsd -c q -p PID2把PID1和PID2，改成tydfjbr.exe和amtrtpn.exe进程的ID。将该killprocess.txt文件扩展名改成.bat双击killprocess.bat，结束tydfjbr.exe和amtrtpn.exe进程 2.删除注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr

16、entVersionRun项中amtrtpn.exe、tydfjbr.exe的启动项 3.删除注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Opeions 4.删除注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecutehooks项中病毒相关的键 5.修改注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

17、ExplorerAdvancedFolderSuperHiddenType的键值为checkbox，显示文件夹选项中的“隐藏受操作系统保护的系统文件”，显示系统属性文件 6.在文件夹选项中，去掉选择“隐藏受保护的操作系统文件”，选择“显示所有文件和文件夹” 7.备份并删除前述“一、感染症状”2、3、4、5、9、10中的病毒文件 8.由于资源管理中无法显示C:WindowsFonts文件夹中除字体文件以外的其他格式文件，所以需要先重新启动计算机，开始-运行-cmd，在命令行模式下执行如下命令：清除病毒文件的系统/隐藏属性，然后将所有dll文件copy到备份文件夹，删除C:WindowsFonts下的所有dll和exe文件。 9.修改系统时间至正常时间 10.将V3不能查杀的病毒文件加密码virus压缩成zip格式发送到support 2、在各磁盘分区、优盘分别建立名为autorun.inf、icnskem.exe的文件夹，阻止生成autorun.inf和icnskem.exe病毒文件； 3、培养良好的电脑使用习惯，使用资源管理器的文件夹栏打开磁盘分区和优盘，从而避免双击打开优盘及磁盘分区时触发autorun病毒；