ARP病毒防治方案

1、ARP 病毒防治方案ARP 病毒利用 ARP 協(xié)議的漏洞,發(fā)送假的 ARP 數(shù)據(jù)包,使得同網(wǎng)段的計算機(jī)誤以為 中毒計算機(jī)是網(wǎng)關(guān), 造成其它計算機(jī)上網(wǎng)中斷。 為了避免中毒計算機(jī)對網(wǎng)絡(luò)造成影響, 趨勢 科技提供以下解決方案,解決 ARP 病毒問題:采用網(wǎng)關(guān) MAC 地址綁定工具,避免用戶遭受攻擊:ARP 病毒主要作用是發(fā)送假的 ARP 數(shù)據(jù)包,修改其他計算機(jī)的 ARP 緩存,讓其他計 算機(jī)誤以為中毒計算機(jī)是網(wǎng)關(guān),將數(shù)據(jù)包發(fā)送到中毒計算機(jī)。因此在客戶機(jī)上綁定網(wǎng)關(guān)的 MAC 地址,可以有效地避免用戶遭受中毒計算機(jī)的襲擊,影響用戶上網(wǎng)。趨勢科技提供網(wǎng)關(guān) MAC 地址綁定工具 ,通過運(yùn)行該工具可以使用戶計

2、算機(jī)的 ARP 表中靜態(tài)綁定網(wǎng)關(guān)的 MAC 地址。部署方式:1. 建議采用 AD 下發(fā)的方式,通過域服務(wù)器將該文件部署到各加入域的計算機(jī),并添 加注冊表啟動項,使得所有登陸域服務(wù)器的計算機(jī)都會自動執(zhí)行該程序,以綁定網(wǎng) 關(guān) MAC 地址;3. 同時可將該工具放置于共享服務(wù)器上,讓沒有加入 AD 域的計算機(jī),可讓自己運(yùn)行 該工具,運(yùn)行該工具不會彈出任何窗口,不會對用戶造成影響。4. 如果沒有域環(huán)境,趨勢科技提供專用的 TSC 程序,通過部署 TSC 的方式,將該程 序部署到所有安裝有 Officescan 的客戶端,并自動執(zhí)行該程序。部署方法如下 : 服務(wù)器端 :1. 解壓縮后 , 將 ARP_P

3、revent.v999 目錄下的 TSC.exe ,TSC.ptn , ipmac_binds_tools.exe 放置在 OSCE 服務(wù)器安裝目錄下的 admin 目錄 中2. 修改配置文件 :在 OSCE 服務(wù)器安裝目錄下的 Autopcc.cfg 目錄中 , 找到 ap95.ini 以及 apnt.ini 文件 , 在這兩個文件中添加行 adminipmac_binds_tools.exe. 3. 然后執(zhí)行 osce 服務(wù)器安裝目錄下 AdminUtilityTouch中的tmtouch.exe:將 AdminUtilityTouch中的 tmtouch.exe 復(fù)制到 Admin 目錄

4、下, 然后在 命令行模式下切換到 C: Program FilesTrendMicroOfficeScanPCCSRVAdmin下執(zhí)行Tmtouch tsc.exeTmtouch tsc.ptnTmtouch ipmac_binds_tools.exe此命令會將以上文件的修改時間改為服務(wù)器的當(dāng)前系統(tǒng)時間注意 :請確保服務(wù)器當(dāng)前系統(tǒng)時間是正確的,如果服務(wù)器系統(tǒng)時間低與客戶端 系統(tǒng)時間則可能會導(dǎo)致自動部署失敗注意以上操作請在服務(wù)器端進(jìn)行。部署該工具的同時需要聯(lián)絡(luò) AV team,以提供一個特別版本的 DCT 用 于自動執(zhí)行被部署的 arp 攻擊防護(hù)工具,該工具在被執(zhí)行后會在系統(tǒng)中 生成自啟動項目,

5、保證每次系統(tǒng)啟動時該工具都可自動執(zhí)行。被部署的 特別版本 DCT 需要在 arp 攻擊防護(hù)工具成功執(zhí)行后,使用正常版本的 DCT 重新部署一次,以恢復(fù)客戶的 osce 客戶端的病毒清除能力。5.該 工 具 運(yùn) 行 一 遍 之 后 會 自 動 在 開 始 >所 有 程 序 >啟 動 中 添 加 啟 動 文 件 ipmac_bind_tools_silent.exe,保證計算機(jī)開機(jī)即運(yùn)行該程序。工具運(yùn)行結(jié)果:在沒有運(yùn)行該工具之前,在命令行方式下輸入 arp a 命令可以看見本機(jī)的 ARP 緩存信 息,如下圖所示, dynamic 表示當(dāng)前 ARP 信息是動態(tài)獲取的: 將工具解壓縮到本機(jī)

6、, 然后運(yùn)行 ipmac_blind_tool.exe, 等待鼠標(biāo)由后臺運(yùn)行圖標(biāo) 變 為正常狀態(tài)圖標(biāo)后 ,即表示工具運(yùn)行完畢。 工具運(yùn)行完畢之后,在命令行方式下執(zhí)行 ARP a 命令,會得到以下結(jié)果,其中 static 表示目前的 IP 地址與 MAC 地址是綁定狀態(tài): 同時在計算機(jī)開始 >所有程序 >啟動中能夠看見其啟動項,保證計算機(jī)重啟時會自動運(yùn) 行該工具。 采用爆發(fā)阻止策略阻止感染病毒:適用范圍:所有安裝有 Officescan 客戶端,并且在線的計算機(jī);其他處于漫游狀態(tài)的計算機(jī) 或者離線的計算機(jī)以及未安裝 Officescan 客戶機(jī)的計算機(jī)無法獲取策略信息, 因此無法受到

7、 該策略的保護(hù)。爆發(fā)阻止策略部署方法如下: 2. 在右邊選擇“防毒墻網(wǎng)絡(luò)版服務(wù)器”然后點(diǎn)擊左邊“爆發(fā)阻止”下的“立即部署” ;3. 在出現(xiàn)的爆發(fā)阻止配置界面中勾選“拒絕寫入文件和文件夾” , 4. 點(diǎn)擊上圖中的設(shè)置,出現(xiàn)“拒絕寫入設(shè)置”的配置界面,在“要保護(hù)的文件”下輸入以 下文件名:npf.sys;packet.dll;wanpacket.dll;7.dll;wpcap.dll;pthreadvc.dll; 然后點(diǎn)擊保存 5.目前出現(xiàn)的所有ARP病毒都會產(chǎn)生以上幾個文件,并利用這些文件來發(fā)送假ARP的ARP包,造成網(wǎng)絡(luò)癱瘓,通過部署爆發(fā)策略,阻止這些文件的寫入可以防止病毒的運(yùn)行。點(diǎn)擊保存。關(guān)

8、閉該窗口。6.再次進(jìn)入以下界面,點(diǎn)擊“激活設(shè)置”,即可將防止ARP病毒運(yùn)行的“爆發(fā)阻止策略”激活。 7.然后查看Officescan控制臺,確認(rèn)連線客戶機(jī)已接受到爆發(fā)阻止策略,如下: 這樣當(dāng)病毒寫入以上文件文件時,就會報錯,如下圖所示: 病毒無法寫入這些發(fā)包所需要的文件,即可保證即時用戶不小心運(yùn)行了病毒文件,也不會對網(wǎng)絡(luò)造成影響。使用TMVS掃描工具掃描防病毒軟件安裝情況采用以上策略之后,所有Officescan客戶端運(yùn)行正常且在線的計算機(jī)可以免受ARP病毒的侵害。但是未安裝Officescan的客戶機(jī)或者Officescan運(yùn)行不正常的客戶機(jī)依然有可能感染病毒,對網(wǎng)絡(luò)造成影響。因此需要對局域網(wǎng)中Officescan客戶端的安裝情況進(jìn)行統(tǒng)計。Officescan服務(wù)器端提供有掃描客戶機(jī)有沒有安裝Officescan客戶端的程序TMVS。TMVS 的使用方法如下:首先在2000或者2003系統(tǒng)下運(yùn)行TMVS程序,其界面如下所示: 在上圖中的from與to中輸入IP地址段,然后點(diǎn)擊