請選擇語言    繁體中文 English 
 
   
網站首頁 · 解決方案 · 產品介紹 · 下載中心 · 公司資訊 · 典型客戶 · 最新客戶 · 購買流程 · 聯系我們
 聚生網管產品
 聚生網管系統簡介
 聚生網管功能列表
 聚生網管功能截圖
 聚生網管技術優勢
 聚生網管與眾不同
 網絡特警產品
 網絡特警背景簡介
 網絡特警核心理念
 網絡特警核心優勢
 網絡特警獨特架構
 網絡特警功能列表
 網絡特警服務體系
 與聚生網管之關系
 與同類產品之對比
 配套產品
 商用安全計算機
 共享文件監視器
 代理服務掃描器
 主機異常警報器
 混雜模式掃描器
 外來電腦隔離器
 遠程開關機工具

 聚生網管服務熱線
010-82825051
010-82825052
010-82825512
010-62961005
 
 
     新 聞 中 心
局域網中ARP病毒的防御和清除
雙擊自動滾屏 發布時間:2009-3-21 12:05:34 閱讀:1次 【字體:
相關鏈接:聚生網管禁止迅雷下載、限制QQ游戲、封堵炒股、限制網速國內最強,使用最簡單!點擊這里了解更多!

局域網中ARP病毒的防御和清除(一)

    7月5日,國內最大的計算機反病毒軟件供應商江民科技發布了2007年上半年十大病毒排行及病毒

疫情報告。據統計,從2007年1月1日到2007年6月 30日,一種主要是針對局域網用戶,通過偽造的ARP

數據包,嚴重干擾網絡的正常運行的ARP病毒,已經僅次于位居第三的“威金”系列病毒(最出名的當

屬 “熊貓燒香”),在排行榜中名列第四。病毒疫情報告還顯示,我國計算機病毒疫情主要呈現的四

大特征之一的ARP病毒所使用的欺騙技術,正在被越來越多的病毒所使用,成為局域網安全的新殺手,

是病毒未來發展的新趨勢。

    ARP全稱為Address Resolution Protocol,地址解析協議。ARP病毒是一種新型的“ ARP 欺騙”

木馬病毒,病毒主機通過偽造的IP地址和MAC地址,向目標主機發出偽造的ARP響應包,從而更改了目

標主機ARP緩存中的IP-MAC條目,欺騙目標主機對本地的ARP緩存進行更新,將應答中的IP和MAC地址存

儲在ARP緩存中實現對目標主機的ARP欺騙。當局域網內有病毒主機在運行ARP欺騙的木馬程序時,就會

欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機,這勢必造成局域網內大面積

的網絡中斷或中間人攻擊(也稱會話劫持),具體表現為客戶端狀態頻頻變紅、用戶頻繁斷網、IE 瀏

覽器頻繁出錯以及一些常用軟件出現故障等問題,更有甚者,局域網的所有用戶原來直接通過路由器

上網,現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。當病毒主機上網后,如果用戶已經

登陸了傳奇等游戲服務器或者其他需要輸入個人私密資料的重要網頁,那么病毒主機就會經常偽造斷

線的假像,當用戶就得重新登錄服務器后,病毒主機就可以盜號了,從而給用戶帶來極大的損失,ARP

病毒的危害之大由此可見一斑了。

一 、ARP病毒電腦的定位

檢測ARP中毒電腦的幾種常用方法有:

1. 命令行法

我們只要在受影響的電腦中查詢一下當前網關的MAC地址,就知道中毒電腦的MAC地址了,在cmd(Wind

ows98中輸入“command”)命令提示行下輸入查詢命令為arp -a。

這時,由于這個電腦的ARP表是錯誤的記錄,因此,該MAC地址不是真正網關的MAC地址,而是中毒電腦

的MAC地址!這時,再根據網絡正常時,全網的 IP—MAC地址對照表,查找中毒電腦的IP地址就可以了

。由此可見,在網絡正常的時候,保存一個全網電腦的IP—MAC地址對照表是多么的重要。建議下載使

用NBTSCAN 工具掃描全網段的IP地址和MAC地址,保存下來,以備后用。

但是如果情形和我們校園網一樣,沒有對IP地址和MAC地址進行綁訂,甚至MAC地址也沒有記錄,現在

就算知道了IP地址,也無法找到病毒主機。臨時處理對策:在能上網時,進入MS-DOS窗口,輸入命令

:arp ?a

查看網關IP對應的正確MAC地址,將其記錄下來;如果已經不能上網,則先運行一次命令arp ?d將arp

緩存中的內容刪空,計算機可暫時恢復上網(攻擊如果不停止的話),一旦能上網就立即將網絡斷掉

(禁用網卡或拔掉網線),再運行arp ?a。

2. 工具軟件法

網上有很多ARP病毒定位工具,如CISCO515E,其中做得較好的是ARP防火墻。打開ARP防火墻,輸入網

關IP地址后,再點擊紅色框內的“枚舉 MAC”按鈕,即可獲得正確網關的MAC地址,接著點擊“自動保

護”按鈕,即可保護當前網卡與網關的正常通信。當局域網中存在ARP欺騙時,該數據包會被 Anti

ARP Sniffer記錄,該軟件會以氣泡的形式報警。這時,我們再根據欺騙機的MAC地址,對比查找全網

的IP-MAC地址對照表,即可快速定位出中毒電腦。

3. Sniffer 抓包嗅探法

當局域網中有ARP病毒欺騙時,往往伴隨著大量的ARP欺騙廣播數據包,這時,流量檢測機制應該能夠

很好的檢測出網絡的異常舉動,此時Ethereal 這樣的抓包工具就能派上用場。從圖中的紅色框內的信

息可以看出,192.168.0.XXX 這臺電腦正向全網發送大量的ARP廣播包,一般的講,局域網中有電腦發

送ARP廣播包的情況是存在的,但是如果不停的大量發送,就很可疑了。而這臺192.168.0.XXX 電腦正

是一個ARP中毒電腦。

此外,在Win XP的Support Tools有一個Netcap工具(netcap.exe),它和Netmon.exe一樣也能夠捕獲

網絡信息。但只可以看到連接數,卻不能看到連接機器名及IP。而Win2000/2003中的網絡監視器就可

以抓取網絡中的數據包,先查出發送arp數據的電腦的IP(可能是假的)及MAC地址,然后找對應的機器就

很容易找到中毒的機器了。

4.IP地址沖突法

運行 tracert ?d  www.baidu.com 找出作崇的主機IP地址;設置與作崇主機相同的IP,然后造成IP

地址沖突,使中毒主機報警然后找到這個主機。

二、ARP病毒的防御和清除

1. 應急處理

客戶機中毒后,可先保證網絡正常運行,方法有:

●在中毒客戶端主機運行 arp -d ,清除arp列表,可暫時恢復該主機正常網絡通訊。

●在中毒客戶端主機進行針對網關的靜態IP-MAC地址綁定,命令arp -s 網關ip 網關mac,為避免計算

機重啟后記錄失效,可編寫一個批處理文件rarp1.bat,內容如下:

  @echo off

  arp -d

  arp -s 您自己的網關Ip地址和MAC地址

  將這個批處理軟件拖到“windows--開始--程序--啟動”中。

●編輯一個arp2.bat文件,內容如下:arp.exe s**.**.**.**(網關ip) ************(網關MAC地

址)end,讓網絡用戶點擊。

●編輯一個注冊表問題,鍵值如下:Windows Registry Editor Version

5.00[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]"MAC"="arp

—s網關IP地址網關MAC地址",然后保存成Reg文件以后在每個客戶端上點擊導入注冊表。

●寫一個批處理,定時刷新arp緩存表

腳本代碼如下:

   主程序arp3.bat

@echo off

cscript sleep.vbs

arp -d

exit

   輔助計時程序 sleep.vbs

wscript.sleep 30000

就這樣,把代碼復制到記事本里,然后分別保存為arp3.bat,其中的30000 可以改的更大些。

2、解決思路

  ● 不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上,(RARP同樣存在欺騙的問題),

理想的關系應該建立在IP+MAC基礎上。

  ●設置靜態的MAC-->IP對應表,不要讓主機刷新你設定好的轉換表。

  ● 除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。

  ● 使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP

服務器不被黑。

  ● 使用\'proxy\'代理IP的傳輸。

  ● 使用硬件屏蔽主機。設置好你的路由,確保IP地址能到達合法的路徑。(靜態配置路由ARP條

目),注意,使用交換集線器和網橋無法阻止ARP欺騙。

  ●管理員定期用響應的IP包中獲得一個rarp請求,然后檢查ARP響應的真實性。

  ● 管理員定期輪詢,檢查主機上的ARP緩存。

  ●下載使用ARP防火墻。(2007-07-18  ARP防火墻單機版 v4.2beta4 發布 ;2007-07-11  ARP防

火墻網絡版 v3.1.1 發布)

    ●可下載系統補丁:WINXP系統ARP病毒補丁 2KB  WIN2000系統ARP病毒補丁 30.8MB。  

三、幾點建議

1、病毒源,對病毒源頭的機器進行處理,殺毒或重新裝系統。此操作比較重要,解決了ARP攻擊的源

頭PC機的問題,可以保證內網免受攻擊。

2、網吧管理員檢查局域網病毒,安裝殺毒軟件(江民/瑞星,必須要更新病毒代碼),對機器進行病

毒掃描。

3、給系統安裝補丁程序,通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service

Pack)。

4、給系統管理員賬戶設置足夠復雜的強密碼,最好能是12位以上,字母+數字+符號的組合;也可以禁

用/刪除一些不使用的賬戶。

5、經常更新殺毒軟件(病毒庫),設置允許的可設置為每天定時自動更新。安裝并使用網絡防火墻軟

件,網絡防火墻在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網絡的攻擊和病毒的

入侵。部分盜版Windows用戶不能正常安裝補丁,不妨通過使用網絡防火墻等其它方法來做到一定的防

護。

6、關閉一些不需要的服務,條件允許的可關閉一些沒有必要的共享,也包括C$、D$等管理共享。完全

單機的用戶也可直接關閉Server服務。

7、不要隨便點擊打開QQ、MSN等聊天工具上發來的鏈接信息,不要隨便打開或運行陌生、可疑文件和

程序,如郵件中的陌生附件,外掛程序。

    ________________________________________

   目前,介紹ARP病毒的文章,網絡上很多。我自己從來沒想到要寫與殺毒有關的的文章,前些天一

個偶然的機會,朋友的電腦重裝系統后不能上網,我分析后感覺和新近流行的ARP病毒相象,為此參看

了6萬多字的文章,綜合多種方法,做了一個整理(有圖示步驟的在我U盤,有機會發上來和大家分享

),希請有經驗的朋友指正,也讓我再學習一下,謝謝!

另外,可以用一些網管軟件來檢測arp病毒,如國內較為普遍使用的聚生網管系統,可以檢測出局域網那個電腦遭遇arp病毒,然后可以用強制隔離功能將其完全隔離,從而保護了局域網的安全。


總之,防止ARP攻擊,檢測ARP攻擊源主機,防止電腦發動ARP攻擊,防止ARP劫持,避免ARP攻擊,抵御ARP病毒,防止ARP欺騙,攔截ARP攻擊,防范ARP木馬,隔離ARP病毒,監控ARP劫持,防御ARP欺騙,抵制ARP洪水,檢測ARP報文,ARP攻擊防御,ARP報文識別,ARP病毒查殺等,聚生網管軟件都可以做到。

相關鏈接:

深入了解聚生網管防范ARP攻擊軟件技術優勢:http://www.glldhx.tw/ProductShow105.htm

即刻下載聚生網管試用:http://www.glldhx.tw/download/grabsun.rar


 

相關鏈接:聚生網管專業禁止BT下載、限制QQ、封堵大智慧,屏蔽QQ游戲,防ARP欺騙!點擊這里查看詳情!
打印本頁 || 關閉窗口

版權所有 2005-2008 聚生網管公司 版權所有,盜版必究
京ICP備05068297號

白姐大型六合图库