ARP欺骗解决方案文档格式.docx

ARP欺骗解决方案文档格式.docx

《ARP欺骗解决方案文档格式.docx》由会员分享，可在线阅读，更多相关《ARP欺骗解决方案文档格式.docx（21页珍藏版）》请在冰点文库上搜索。

如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；

如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：

“192.168.1.1的MAC地址是什么？

”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：

“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。

这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。

同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

作为攻击源的主机伪造一个ARP响应包，此ARP响应包中的IP与MAC地址对与真实的IP与MAC对应关系不同，此伪造的ARP响应包广播出去后，网内其它主机ARP缓存被更新，被欺骗主机ARP缓存中特定IP被关联到错误的MAC地址，被欺骗主机访问特定IP的数据包将不能被发送到真实的目的主机，目的主机不能被正常访问。

四、ARP欺骗的症状

网络时断时通

网络中断，重启网关设备，网络短暂连通

内网通讯正常、网关不通；

频繁提示ＩＰ地址冲突；

硬件设备正常，局域网不通；

特定IP网络不通，更换IP地址，网络正常；

禁用-启用网卡，网络短暂连通；

网页被重定向。

……………………

五、ARP欺骗解决方案：

方案A：

IP-MAC绑定

通过双向IP-MAC绑定可以抵御ARP欺骗，解决由于ARP欺骗造成的网络掉线、IP冲突等问题，保证网络畅通。

1、客户机绑定网关IP-MAC：

在客户机设置网关IP与MAC为静态映射，

将如下内容复制到记事本中并保存为staticarp.reg，（网关IP、网关MAC根据实际情况填写，例：

"

staticarp"

="

arp–s192.168.0.100-01-02-03-04-05"

）

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run]

"

arp–s网关IP网关MAC"

将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置，文件名为run.bat，（网关IP、网关MAC根据实际情况填写，例：

@eachoff

regedit/s.\runstaticarp.reg

arp-s网关IP网关MAC

双击运行run.bat

2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序

将staticarp.reg、run.bat保存到同一文件夹下，登录AhnlabPlicyCenterAdmin，服务器管理—登录分发软件—添加，<

要分发的文件夹>

选中保存staticarp.reg、run.bat的文件夹，<

执行压缩文件名>

中输入对所选择的文件夹压缩后生成的压缩文件的名称，<

登录包名称>

中输入应用程序名称，<

说明>

中输入简单说明，<

解压缩后执行文件>

中输入run.bat，单击<

确定>

。

AhnlabPlicyCenterAdmin—策略管理中选中需要分发的群组或客户机，点右键，紧急安全指令-分发，选中<

一般软件>

，选中要分发的软件，点击<

确认>

3、网关绑定客户机IP-MAC：

使用支持IP/MAC绑定的网关设备，在网关设备中设置客户机的静态IP-MAC列表。

注：

方案A可以抵御ARP欺骗，保证网络正常运行，但不能定位及清除ARP攻击源。

方案B：

利用ARP命令及nbtscan定位ARP攻击源

1、确定ARP攻击源MAC地址

ARP欺骗发作时，在受到ARP欺骗的计算机命令提示符下输入arp–a，APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址，则为ARP攻击源的MAC地址，一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址；

在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。

2、定位ARP攻击源计算机

已全网面署APC2.5的环境：

在PolicyCenterAdmin2.5中，查找agent，查找ARP攻击源的MAC地址，定位攻击源计算机。

未布署APC2.5的环境：

运行NbtscanMAC扫描器gui.exe，输入局域网IP地址范围，点击开始，显示局域网内IP、计算机名与MAC对应关系，查找ARP攻击源MAC对应的IP地址及计算机名，根据IP地址及计算机名定位攻击源计算机。

Autorun病毒样例分析

一、感染症状

1、每个盘符下生成隐藏文件autorun.inf、auto.exe

2、在c:

\windows\system32下生成30F3CB56.exe、A89F7741.DLL文件，其中A89F7741.DLL为病毒下载器

3、新增服务：

651085B（c:

\windows\system32\30F3CB56.EXE）

4、更改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值为0，阻止显示隐藏文件

5、下载木马病毒到c:

\windows、c:

\windows\system32、IE缓存等文件夹，病毒文件修改日期较新，无公司签名。

Autorun病毒有若干变种，不同变种的autorun病毒下载的木马病毒文件也不相同；

同一autorun病毒在不同时间、不同电脑感染时所下载的木马病毒也有可能不同，病毒发布者只需更换互联网上的木马病毒链接即可实现新木马病毒的快速传播，这也增加了杀毒软件全部查杀autorun病毒下载的所有木马病毒的难度。

6、新增注册表启动项：

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run

二、手动清除

若V3不能全部查杀时，可按以下步骤手动处理：

1、重启系统按F5键进安全模式；

2、更改注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值为1；

3、删除注册表项\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\651085B 

4、更改文件夹选项，显示所有文件和文件夹

5、在各磁盘分区上点右键—打开，将各分区下的auto.exe、autorun.inf文件备份后删除；

6、将c:

\windows\system32文件夹中的文件按修改时间排序，在修改时间较新的文件中确认病毒文件，备份后删除；

7、将IE缓存文件夹中的文件按类型排序后，将可执行文件备份后删除；

8、删除注册表中病毒相关的启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run；

9、重新启动系统，确认各分区下未再次生成autorun.inf、auto.exe；

10、将备份的病毒文件加密码virus压缩成zip格式发送到suppoort@。

三、Autorun病毒的预防

1、关闭自动播放

点“开始”→“运行”，在对话框中输入“gpedit.msc”，“确定”，在组策略“计算机配置”→“管理模板”→“系统”，双击“关闭自动播放”，在“设置”中选“已启用”，“关闭自动播放：

所有驱动器”，确定；

2、在各磁盘分区、优盘分别建立名为autorun.inf、auto.exe的文件夹，阻止生成autorun.inf和auto.exe病毒文件；

3、培养良好的电脑使用习惯，使用“右键-打开”打开磁盘分区，从而避免双击打开优盘及磁盘分区时触发autorun病毒；

对外来优盘、下载的文件查杀病毒后再使用；

避免访问非法网站、个人网站等危险站点。

AV终结者病毒实例分析

1、更改注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox2，隐藏“文件夹选项”中的“隐藏受保护的操作系统文件”项，阻止显示系统属性的文件

2、在每个盘符下生成autorun.inf、icnskem.exe，并会下载VBurl.exe到C:

\

3、在C:

\programFiles下生成meex.exe

4、在C:

\programFiles\CommonFiles\MicrosoftShared下生成具有隐藏/系统属性的文件xoqommy.inf、tydfjbr.exe

5、在C:

\programFiles\CommonFiles\System下生成具有隐藏/系统属性的文件xoqommy.inf、amtrtpn.exe

6、增加amtrtpn.exe、tydfjbr.exe的启动项

7、添加注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\

ImageFileExecutionOpeions，实现映像劫持，阻止运行反病毒软件、

系统分析/修复工具等工具软件

8、进程中有amtrtpn.exe、tydfjbr.exe两个进程互相守护，结束其中任一进程时，任务管理器也同时被结束，待再次打开任务管理器时，被结束的进程已经再次运行。

9、下载病毒文件到C:

\DocumentsandSettings\Administrator\LocalSettings\Temp

10、下载病毒文件到

C:

\DocumentsandSettings\Administrator\LocalSettings

\TemporayInternetFiles

11、下载病毒文件到C:

\windows\Fonts文件

12、添加注册表项，使病毒注入Explorer.exe进程

13、修改系统时间为2001年

二、手动清除

1.结束tydfjbr.exe和amtrtpn.exe进程任务管理器->

进程选项卡->

查看->

选择列->

勾上"

PID（进程标识符）"

新建文本文档killprocess.txt，内容如下：

ntsd-cq-pPID1

ntsd-cq-pPID2

把PID1和PID2，改成tydfjbr.exe和amtrtpn.exe进程的ID。

将该killprocess.txt文件扩展名改成.bat

双击killprocess.bat，结束tydfjbr.exe和amtrtpn.exe进程

2.删除注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中amtrtpn.exe、tydfjbr.exe的启动项

3.删除注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOpeions

4.删除注册表项

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\ShellExecutehooks项中病毒相关的键

5.修改注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox，显示文件夹选项中的“隐藏受操作系统保护的系统文件”，显示系统属性文件

6.在文件夹选项中，去掉选择“隐藏受保护的操作系统文件”，选择“显示所有文件和文件夹”

7.备份并删除前述“一、感染症状”2、3、4、5、9、10中的病毒文件

8.由于资源管理中无法显示C:

\Windows\Fonts文件夹中除字体文件以外的其他格式文件，所以需要先重新启动计算机，开始-运行-cmd，在命令行模式下执行如下命令：

清除病毒文件的系统/隐藏属性，然后将所有dll文件copy到备份文件夹，删除C:

\Windows\Fonts下的所有dll和exe文件。

9.修改系统时间至正常时间

10.将V3不能查杀的病毒文件加密码virus压缩成zip格式发送到support@

2、在各磁盘分区、优盘分别建立名为autorun.inf、icnskem.exe的文件夹，阻止生成autorun.inf和icnskem.exe病毒文件；

3、培养良好的电脑使用习惯，使用资源管理器的文件夹栏打开磁盘分区和优盘，从而避免双击打开优盘及磁盘分区时触发autorun病毒；