ARP病毒防治方案

1、ARP 病毒防治方案ARP 病毒利用 ARP 協(xié)議的漏洞,發(fā)送假的 ARP 數(shù)據(jù)包,使得同網(wǎng)段的計算機誤以為 中毒計算機是網(wǎng)關, 造成其它計算機上網(wǎng)中斷。 為了避免中毒計算機對網(wǎng)絡造成影響, 趨勢 科技提供以下解決方案,解決 ARP 病毒問題:采用網(wǎng)關 MAC 地址綁定工具,避免用戶遭受攻擊:ARP 病毒主要作用是發(fā)送假的 ARP 數(shù)據(jù)包,修改其他計算機的 ARP 緩存,讓其他計 算機誤以為中毒計算機是網(wǎng)關,將數(shù)據(jù)包發(fā)送到中毒計算機。因此在客戶機上綁定網(wǎng)關的 MAC 地址,可以有效地避免用戶遭受中毒計算機的襲擊,影響用戶上網(wǎng)。趨勢科技提供網(wǎng)關 MAC 地址綁定工具 ,通過運行該工具可以使用戶計

2、算機的 ARP 表中靜態(tài)綁定網(wǎng)關的 MAC 地址。部署方式:1. 建議采用 AD 下發(fā)的方式,通過域服務器將該文件部署到各加入域的計算機,并添 加注冊表啟動項,使得所有登陸域服務器的計算機都會自動執(zhí)行該程序,以綁定網(wǎng) 關 MAC 地址;3. 同時可將該工具放置于共享服務器上,讓沒有加入 AD 域的計算機,可讓自己運行 該工具,運行該工具不會彈出任何窗口,不會對用戶造成影響。4. 如果沒有域環(huán)境,趨勢科技提供專用的 TSC 程序,通過部署 TSC 的方式,將該程 序部署到所有安裝有 Officescan 的客戶端,并自動執(zhí)行該程序。部署方法如下 : 服務器端 :1. 解壓縮后 , 將 ARP_P

3、revent.v999 目錄下的 TSC.exe ,TSC.ptn , ipmac_binds_tools.exe 放置在 OSCE 服務器安裝目錄下的 admin 目錄 中2. 修改配置文件 :在 OSCE 服務器安裝目錄下的 Autopcc.cfg 目錄中 , 找到 ap95.ini 以及 apnt.ini 文件 , 在這兩個文件中添加行 adminipmac_binds_tools.exe. 3. 然后執(zhí)行 osce 服務器安裝目錄下 AdminUtilityTouch中的tmtouch.exe:將 AdminUtilityTouch中的 tmtouch.exe 復制到 Admin 目錄

4、下, 然后在 命令行模式下切換到 C: Program FilesTrendMicroOfficeScanPCCSRVAdmin下執(zhí)行Tmtouch tsc.exeTmtouch tsc.ptnTmtouch ipmac_binds_tools.exe此命令會將以上文件的修改時間改為服務器的當前系統(tǒng)時間注意 :請確保服務器當前系統(tǒng)時間是正確的,如果服務器系統(tǒng)時間低與客戶端 系統(tǒng)時間則可能會導致自動部署失敗注意以上操作請在服務器端進行。部署該工具的同時需要聯(lián)絡 AV team,以提供一個特別版本的 DCT 用 于自動執(zhí)行被部署的 arp 攻擊防護工具,該工具在被執(zhí)行后會在系統(tǒng)中 生成自啟動項目,

5、保證每次系統(tǒng)啟動時該工具都可自動執(zhí)行。被部署的 特別版本 DCT 需要在 arp 攻擊防護工具成功執(zhí)行后,使用正常版本的 DCT 重新部署一次,以恢復客戶的 osce 客戶端的病毒清除能力。5.該 工 具 運 行 一 遍 之 后 會 自 動 在 開 始 >所 有 程 序 >啟 動 中 添 加 啟 動 文 件 ipmac_bind_tools_silent.exe,保證計算機開機即運行該程序。工具運行結果:在沒有運行該工具之前,在命令行方式下輸入 arp a 命令可以看見本機的 ARP 緩存信 息,如下圖所示, dynamic 表示當前 ARP 信息是動態(tài)獲取的: 將工具解壓縮到本機

6、, 然后運行 ipmac_blind_tool.exe, 等待鼠標由后臺運行圖標 變 為正常狀態(tài)圖標后 ,即表示工具運行完畢。 工具運行完畢之后,在命令行方式下執(zhí)行 ARP a 命令,會得到以下結果,其中 static 表示目前的 IP 地址與 MAC 地址是綁定狀態(tài): 同時在計算機開始 >所有程序 >啟動中能夠看見其啟動項,保證計算機重啟時會自動運 行該工具。 采用爆發(fā)阻止策略阻止感染病毒:適用范圍:所有安裝有 Officescan 客戶端,并且在線的計算機;其他處于漫游狀態(tài)的計算機 或者離線的計算機以及未安裝 Officescan 客戶機的計算機無法獲取策略信息, 因此無法受到

7、 該策略的保護。爆發(fā)阻止策略部署方法如下: 2. 在右邊選擇“防毒墻網(wǎng)絡版服務器”然后點擊左邊“爆發(fā)阻止”下的“立即部署” ;3. 在出現(xiàn)的爆發(fā)阻止配置界面中勾選“拒絕寫入文件和文件夾” , 4. 點擊上圖中的設置,出現(xiàn)“拒絕寫入設置”的配置界面,在“要保護的文件”下輸入以 下文件名:npf.sys;packet.dll;wanpacket.dll;7.dll;wpcap.dll;pthreadvc.dll; 然后點擊保存 5.目前出現(xiàn)的所有ARP病毒都會產(chǎn)生以上幾個文件,并利用這些文件來發(fā)送假ARP的ARP包,造成網(wǎng)絡癱瘓,通過部署爆發(fā)策略,阻止這些文件的寫入可以防止病毒的運行。點擊保存。關

8、閉該窗口。6.再次進入以下界面,點擊“激活設置”,即可將防止ARP病毒運行的“爆發(fā)阻止策略”激活。 7.然后查看Officescan控制臺,確認連線客戶機已接受到爆發(fā)阻止策略,如下: 這樣當病毒寫入以上文件文件時,就會報錯,如下圖所示: 病毒無法寫入這些發(fā)包所需要的文件,即可保證即時用戶不小心運行了病毒文件,也不會對網(wǎng)絡造成影響。使用TMVS掃描工具掃描防病毒軟件安裝情況采用以上策略之后,所有Officescan客戶端運行正常且在線的計算機可以免受ARP病毒的侵害。但是未安裝Officescan的客戶機或者Officescan運行不正常的客戶機依然有可能感染病毒,對網(wǎng)絡造成影響。因此需要對局域網(wǎng)中Officescan客戶端的安裝情況進行統(tǒng)計。Officescan服務器端提供有掃描客戶機有沒有安裝Officescan客戶端的程序TMVS。TMVS 的使用方法如下:首先在2000或者2003系統(tǒng)下運行TMVS程序,其界面如下所示: 在上圖中的from與to中輸入IP地址段,然后點擊