《ARP病毒处理方案》.pdfVIP

ARP 病毒处理方案 一、病毒处理步骤2 1. 判断是否 ARP 欺骗2 2. 定位病毒源2 3. 排除网络瘫痪问题5 4. 抓获 ARP 欺骗病毒样本5 5. 尝试清除病毒7 6. 绑定 MAC 地址7 一、病毒处理步骤 1. 判断是否 ARP 欺骗 判断是否 ARP spoofing 病毒的现象： 1. 是否有一台或几台电脑可以上网，而其他电脑不能上网(不是必然的现象，也有可能是 其他网络问题导致这个现象) 2. 客户机器上 ARP 缓存中不同 IP 地址对应的 MAC 地址是一样的(例外:如果正巧查的是那 台中毒的电脑，就没有这个现象) 方法: 在命令行窗口输入: arp –a 可以看到 ARP 缓存中的 MAC 地址对应表，如图，如果有两个 IP 对应的 MAC 地址一样， 就表明有可能网络中了 ARP 病毒。 （推荐先使用这种方法查看） 3. 交换机 MAC 表上 MAC 地址有的是一样的，这个需要工程师查看交换机 MAC 表信息 4. 交换机上会有警报日志，有 MAC 地址冲突(这个需要工程师查看交换机日志) 2. 定位病毒源 1．使用 arp –a 查看： 如果 是正确的网关的话，07 就是感染了 ARP 欺骗病毒的电脑 （推 荐先使用这种方法） 2． 使用特殊的 TSC 工具，在文件包中有(ARP)TSC.zip （推荐使用） 通过把这个 TSC 部署到客户端，这个 TSC 找到病毒源头 步骤: 将 TSC 工具从 OfficeScan 中央控制台部署到客户端 从中央控制台命令客户端进行扫描 扫描完毕后检查中央控制台的病毒日志记录，搜索日志中的 POSSIBLE_ARP 记录，通过 该记录可以找到感染源的机器名。 3． 在交换机和路由器上看 MAC 地址表,查看是否有重复的 MAC 地址，然后查找对应的 IP 地 址，找到该电脑。 4． 用工具 AntiArpSniffer 查找攻击源 以下是使用AntiArpSniffer 定位 ARP 攻击源的方法: 使用 AntiArpSniffer 定位 ARP 攻击源。在你的网络里面，找一台机器运行此工具，并定期 来监控此工具的检测情况。 工具下载地址：/soft/AntiArpSniffer3.zip a) 功能简介： 帮助侦测定位网络中 Arp 攻击的来源，并保证遭受 Arp 攻击的网络中的主机在执行 该工具的自动保护功能后能正常的与网关通信 b) 使用说明： 防御 ARP 欺骗 • 开启 Anti ARP Sniffer,输入网关 IP 地址，点击［枚取 MAC］如你网关填写正 确将会显示出网关的 MAC 地址。 • 点击 [自动保护] 即可保护当前网卡与网关的正常通信。 追踪 ARP 攻击者： 当局域网内有人试图与本机进行ARP 欺骗，其数据会被 Anti ARP Sniffer 记录。在欺骗数 据详细记录表中选择需要追踪的行，然后点击［追捕欺骗机］，就能查找到攻击源。 1．点击相应的记录 2 ．点击按钮查找攻击源 3. 排除网络瘫痪问题 这个时候有两种方法来快速恢复网络。 1）拔掉此机器的网线 (推荐使用的方法)。 2)如果你的二层交换机支持单个端口的配置，那么封锁此网卡连接的交换机的端口。 通过以上两种方式隔离此机器后，等 ARP 缓存更新后，其他机器即可正常联网。一般来说 MS Windows 高速缓存中的每一条记录包括 ARP 的生存时间一般为 60 秒。 4. 抓获 ARP 欺骗病毒样本 1. 使用 SIC2.0 ARP 版本收集系统信息 SIC 2.0