ARP病毒防治方案.docx

ARP病毒防治方案.docx

《ARP病毒防治方案.docx》由会员分享，可在线阅读，更多相关《ARP病毒防治方案.docx（12页珍藏版）》请在冰点文库上搜索。

ARP病毒防治方案

ARP病毒防治方案

ARP病毒利用ARP协议的漏洞,发送假的ARP数据包,使得同网段的计算机误以为中毒计算机是网关,造成其它计算机上网中断。

为了避免中毒计算机对网络造成影响,趋势科技提供以下解决方案,解决ARP病毒问题:

采用网关MAC地址绑定工具,避免用户遭受攻击:

ARP病毒主要作用是发送假的ARP数据包,修改其他计算机的ARP缓存,让其他计算机误以为中毒计算机是网关,将数据包发送到中毒计算机。

因此在客户机上绑定网关的MAC地址,可以有效地避免用户遭受中毒计算机的袭击,影响用户上网。

趋势科技提供网关MAC地址绑定工具

通过运行该工具可以使用户计算

机的ARP表中静态绑定网关的MAC地址。

部署方式:

1.建议采用AD下发的方式,通过域服务器将该文件部署到各加入域的计算机,并添加注册表启动项,使得所有登陆域服务器的计算机都会自动执行该程序,以绑定网关MAC地址;

2.将该程序放置于防病毒服务器的PCCSRV目录下,修改登录域脚本,添加如下内容:

\\10.0.0.1\ofcscan\ipmac_bind_tools_silent.exe,这样加入域的计算机在启动检查完防病毒软件的安装情况之后,会自动连接到防病毒服务器运行该程序,绑定网关MAC地址,注意其中的ip地址需要替换成实际环境的地址;

3.同时可将该工具放置于共享服务器上,让没有加入AD域的计算机,可让自己运行该工具,运行该工具不会弹出任何窗口,不会对用户造成影响。

4.如果没有域环境,趋势科技提供专用的TSC程序,通过部署TSC的方式,将该程序部署到所有安装有Officescan的客户端,并自动执行该程序。

部署方法如下:

服务器端:

1.解压缩后,将ARP_Prevent.v999目录下的TSC.exe,TSC.ptn,ipmac_binds_tools.exe放置在OSCE服务器安装目录下的admin目录中

2.修改配置文件:

在OSCE服务器安装目录下的Autopcc.cfg目录中,找到ap95.ini以及apnt.ini文件,在这两个文件中添加行admin\ipmac_binds_tools.exe.3.然后执行osce服务器安装目录下Admin\Utility\Touch中的

tmtouch.exe:

将Admin\Utility\Touch中的tmtouch.exe复制到Admin目录下,然后在命令行模式下切换到C:

\ProgramFiles\Trend

Micro\OfficeScan\PCCSRV\Admin下执行

Tmtouchtsc.exe

Tmtouchtsc.ptn

Tmtouchipmac_binds_tools.exe

此命令会将以上文件的修改时间改为服务器的当前系统时间

注意:

请确保服务器当前系统时间是正确的,如果服务器系统时间低与客户端系统时间则可能会导致自动部署失败

注意以上操作请在服务器端进行。

部署该工具的同时需要联络AVteam,以提供一个特别版本的DCT用于自动执行被部署的arp攻击防护工具,该工具在被执行后会在系统中生成自启动项目,保证每次系统启动时该工具都可自动执行。

被部署的特别版本DCT需要在arp攻击防护工具成功执行后,使用正常版本的DCT重新部署一次,以恢复客户的osce客户端的病毒清除能力。

5.

该工具运行一遍之后会自动在开始>所有程序>启动中添加启动文件ipmac_bind_tools_silent.exe,保证计算机开机即运行该程序。

工具运行结果:

在没有运行该工具之前,在命令行方式下输入arp–a命令可以看见本机的ARP缓存信息,如下图所示,dynamic表示当前ARP信息是动态获取的:

将工具解压缩到本机,然后运行ipmac_blind_tool.exe,等待鼠标由后台运行图标变为正常状态图标后,即表示工具运行完毕。

工具运行完毕之后,在命令行方式下执行ARP–a命令,会得到以下结果,其中static表示目前的IP地址与MAC地址是绑定状态:

同时在计算机开始>所有程序>启动中能够看见其启动项,保证计算机重启时会自动运行该工具。

采用爆发阻止策略阻止感染病毒:

适用范围:

所有安装有Officescan客户端,并且在线的计算机;其他处于漫游状态的计算机或者离线的计算机以及未安装Officescan客户机的计算机无法获取策略信息,因此无法受到该策略的保护。

爆发阻止策略部署方法如下:

1.在IE中输入https:

//10.0.0.1/officescan进入Officescan控制台,点击“爆发阻止”,如下图所示,注意其中的ip地址需要替换成实际环境的地址:

2.在右边选择“防毒墙网络版服务器”然后点击左边“爆发阻止”下的“立即部署”;

3.在出现的爆发阻止配置界面中勾选“拒绝写入文件和文件夹”,

4.点击上图中的设置,出现“拒绝写入设置”的配置界面,在“要保护的文件”下输入以下文件名:

npf.sys;packet.dll;wanpacket.dll;7.dll;wpcap.dll;pthreadvc.dll;然后点击保存

5.目前出现的所有ARP病毒都会产生以上几个文件,并利用这些文件来发送假ARP的

ARP包,造成网络瘫痪,通过部署爆发策略,阻止这些文件的写入可以防止病毒的运行。

点击保存。

关闭该窗口。

6.再次进入以下界面,点击“激活设置”,即可将防止ARP病毒运行的“爆发阻止策略”

激活。

7.然后查看Officescan控制台,确认连线客户机已接受到爆发阻止策略,如下:

这样当病毒写入以上文件文件时,就会报错,如下图所示:

病毒无法写入这些发包所需要的文件,即可保证即时用户不小心运行了病毒文件,也不会对网络造成影响。

使用TMVS扫描工具扫描防病毒软件安装情况

采用以上策略之后,所有Officescan客户端运行正常且在线的计算机可以免受ARP病毒的侵害。

但是未安装Officescan的客户机或者Officescan运行不正常的客户机依然有可能感染病毒,对网络造成影响。

因此需要对局域网中Officescan客户端的安装情况进行统计。

Officescan服务器端提供有扫描客户机有没有安装Officescan客户端的程序TMVS。

TMVS的使用方法如下:

首先在2000或者2003系统下运行TMVS程序,其界面如下所示:

在上图中的from与to中输入IP地址段,然后点击Start,就可以扫描指定网段中Officescan的安装情况。

使用该工具可以扫描出计算机IP地址,机器名以及当前Officescan客户端的版本以及病毒码状况。

扫描结果可以导出为csv格式,使用excel打开,便于统计。

病毒攻击源的查找

1.使用arp–a查看:

如果10.28.133.1是正确的网关的话，10.28.133.107就是感染了ARP欺骗病毒的电脑（推荐先使用这种方法）2．使用特殊的TSC工具，（ARPTSC.zip（推荐使用）通过把这个TSC部署到客户端，这个TSC找到病毒源头步骤:

À将TSC工具从OfficeScan中央控制台部署到客户端À从中央控制台命令客户端进行扫描À扫描完毕后检查中央控制台的病毒日志记录，搜索日志中的POSSIBLE_ARP记录，通过该记录可以找到感染源的机器名。

3．在交换机和路由器上看MAC地址表,查看是否有重复的MAC地址，然后查找对应的IP地址，找到该电脑。