ARP病毒防治方案

1、ARP 病毒防治方案ARP 病毒利用 ARP 協(xié)議的漏洞,發(fā)送假的 ARP 數(shù)據(jù)包,使得同網(wǎng)段的計(jì)算機(jī)誤以為 中毒計(jì)算機(jī)是網(wǎng)關(guān), 造成其它計(jì)算機(jī)上網(wǎng)中斷。 為了避免中毒計(jì)算機(jī)對(duì)網(wǎng)絡(luò)造成影響, 趨勢(shì) 科技提供以下解決方案,解決 ARP 病毒問(wèn)題:采用網(wǎng)關(guān) MAC 地址綁定工具,避免用戶遭受攻擊:ARP 病毒主要作用是發(fā)送假的 ARP 數(shù)據(jù)包,修改其他計(jì)算機(jī)的 ARP 緩存,讓其他計(jì) 算機(jī)誤以為中毒計(jì)算機(jī)是網(wǎng)關(guān),將數(shù)據(jù)包發(fā)送到中毒計(jì)算機(jī)。因此在客戶機(jī)上綁定網(wǎng)關(guān)的 MAC 地址,可以有效地避免用戶遭受中毒計(jì)算機(jī)的襲擊,影響用戶上網(wǎng)。趨勢(shì)科技提供網(wǎng)關(guān) MAC 地址綁定工具 ,通過(guò)運(yùn)行該工具可以使用戶計(jì)

2、算機(jī)的 ARP 表中靜態(tài)綁定網(wǎng)關(guān)的 MAC 地址。部署方式:1. 建議采用 AD 下發(fā)的方式,通過(guò)域服務(wù)器將該文件部署到各加入域的計(jì)算機(jī),并添 加注冊(cè)表啟動(dòng)項(xiàng),使得所有登陸域服務(wù)器的計(jì)算機(jī)都會(huì)自動(dòng)執(zhí)行該程序,以綁定網(wǎng) 關(guān) MAC 地址;3. 同時(shí)可將該工具放置于共享服務(wù)器上,讓沒(méi)有加入 AD 域的計(jì)算機(jī),可讓自己運(yùn)行 該工具,運(yùn)行該工具不會(huì)彈出任何窗口,不會(huì)對(duì)用戶造成影響。4. 如果沒(méi)有域環(huán)境,趨勢(shì)科技提供專用的 TSC 程序,通過(guò)部署 TSC 的方式,將該程 序部署到所有安裝有 Officescan 的客戶端,并自動(dòng)執(zhí)行該程序。部署方法如下 : 服務(wù)器端 :1. 解壓縮后 , 將 ARP_P

3、revent.v999 目錄下的 TSC.exe ,TSC.ptn , ipmac_binds_tools.exe 放置在 OSCE 服務(wù)器安裝目錄下的 admin 目錄 中2. 修改配置文件 :在 OSCE 服務(wù)器安裝目錄下的 Autopcc.cfg 目錄中 , 找到 ap95.ini 以及 apnt.ini 文件 , 在這兩個(gè)文件中添加行 adminipmac_binds_tools.exe. 3. 然后執(zhí)行 osce 服務(wù)器安裝目錄下 AdminUtilityTouch中的tmtouch.exe:將 AdminUtilityTouch中的 tmtouch.exe 復(fù)制到 Admin 目錄

4、下, 然后在 命令行模式下切換到 C: Program FilesTrendMicroOfficeScanPCCSRVAdmin下執(zhí)行Tmtouch tsc.exeTmtouch tsc.ptnTmtouch ipmac_binds_tools.exe此命令會(huì)將以上文件的修改時(shí)間改為服務(wù)器的當(dāng)前系統(tǒng)時(shí)間注意 :請(qǐng)確保服務(wù)器當(dāng)前系統(tǒng)時(shí)間是正確的,如果服務(wù)器系統(tǒng)時(shí)間低與客戶端 系統(tǒng)時(shí)間則可能會(huì)導(dǎo)致自動(dòng)部署失敗注意以上操作請(qǐng)?jiān)诜?wù)器端進(jìn)行。部署該工具的同時(shí)需要聯(lián)絡(luò) AV team,以提供一個(gè)特別版本的 DCT 用 于自動(dòng)執(zhí)行被部署的 arp 攻擊防護(hù)工具,該工具在被執(zhí)行后會(huì)在系統(tǒng)中 生成自啟動(dòng)項(xiàng)目,

5、保證每次系統(tǒng)啟動(dòng)時(shí)該工具都可自動(dòng)執(zhí)行。被部署的 特別版本 DCT 需要在 arp 攻擊防護(hù)工具成功執(zhí)行后,使用正常版本的 DCT 重新部署一次,以恢復(fù)客戶的 osce 客戶端的病毒清除能力。5.該 工 具 運(yùn) 行 一 遍 之 后 會(huì) 自 動(dòng) 在 開 始 >所 有 程 序 >啟 動(dòng) 中 添 加 啟 動(dòng) 文 件 ipmac_bind_tools_silent.exe,保證計(jì)算機(jī)開機(jī)即運(yùn)行該程序。工具運(yùn)行結(jié)果:在沒(méi)有運(yùn)行該工具之前,在命令行方式下輸入 arp a 命令可以看見(jiàn)本機(jī)的 ARP 緩存信 息,如下圖所示, dynamic 表示當(dāng)前 ARP 信息是動(dòng)態(tài)獲取的: 將工具解壓縮到本機(jī)

6、, 然后運(yùn)行 ipmac_blind_tool.exe, 等待鼠標(biāo)由后臺(tái)運(yùn)行圖標(biāo) 變 為正常狀態(tài)圖標(biāo)后 ,即表示工具運(yùn)行完畢。 工具運(yùn)行完畢之后,在命令行方式下執(zhí)行 ARP a 命令,會(huì)得到以下結(jié)果,其中 static 表示目前的 IP 地址與 MAC 地址是綁定狀態(tài): 同時(shí)在計(jì)算機(jī)開始 >所有程序 >啟動(dòng)中能夠看見(jiàn)其啟動(dòng)項(xiàng),保證計(jì)算機(jī)重啟時(shí)會(huì)自動(dòng)運(yùn) 行該工具。 采用爆發(fā)阻止策略阻止感染病毒:適用范圍:所有安裝有 Officescan 客戶端,并且在線的計(jì)算機(jī);其他處于漫游狀態(tài)的計(jì)算機(jī) 或者離線的計(jì)算機(jī)以及未安裝 Officescan 客戶機(jī)的計(jì)算機(jī)無(wú)法獲取策略信息, 因此無(wú)法受到

7、 該策略的保護(hù)。爆發(fā)阻止策略部署方法如下: 2. 在右邊選擇“防毒墻網(wǎng)絡(luò)版服務(wù)器”然后點(diǎn)擊左邊“爆發(fā)阻止”下的“立即部署” ;3. 在出現(xiàn)的爆發(fā)阻止配置界面中勾選“拒絕寫入文件和文件夾” , 4. 點(diǎn)擊上圖中的設(shè)置,出現(xiàn)“拒絕寫入設(shè)置”的配置界面,在“要保護(hù)的文件”下輸入以 下文件名:npf.sys;packet.dll;wanpacket.dll;7.dll;wpcap.dll;pthreadvc.dll; 然后點(diǎn)擊保存 5.目前出現(xiàn)的所有ARP病毒都會(huì)產(chǎn)生以上幾個(gè)文件,并利用這些文件來(lái)發(fā)送假ARP的ARP包,造成網(wǎng)絡(luò)癱瘓,通過(guò)部署爆發(fā)策略,阻止這些文件的寫入可以防止病毒的運(yùn)行。點(diǎn)擊保存。關(guān)

8、閉該窗口。6.再次進(jìn)入以下界面,點(diǎn)擊“激活設(shè)置”,即可將防止ARP病毒運(yùn)行的“爆發(fā)阻止策略”激活。 7.然后查看Officescan控制臺(tái),確認(rèn)連線客戶機(jī)已接受到爆發(fā)阻止策略,如下: 這樣當(dāng)病毒寫入以上文件文件時(shí),就會(huì)報(bào)錯(cuò),如下圖所示: 病毒無(wú)法寫入這些發(fā)包所需要的文件,即可保證即時(shí)用戶不小心運(yùn)行了病毒文件,也不會(huì)對(duì)網(wǎng)絡(luò)造成影響。使用TMVS掃描工具掃描防病毒軟件安裝情況采用以上策略之后,所有Officescan客戶端運(yùn)行正常且在線的計(jì)算機(jī)可以免受ARP病毒的侵害。但是未安裝Officescan的客戶機(jī)或者Officescan運(yùn)行不正常的客戶機(jī)依然有可能感染病毒,對(duì)網(wǎng)絡(luò)造成影響。因此需要對(duì)局域網(wǎng)中Officescan客戶端的安裝情況進(jìn)行統(tǒng)計(jì)。Officescan服務(wù)器端提供有掃描客戶機(jī)有沒(méi)有安裝Officescan客戶端的程序TMVS。TMVS 的使用方法如下:首先在2000或者2003系統(tǒng)下運(yùn)行TMVS程序,其界面如下所示: 在上圖中的from與to中輸入IP地址段,然后點(diǎn)擊