1-趋势科技.docVIP

1. 判断是否 ARP欺骗 判断是否 ARP欺骗 判断是否 ARP spoofing病毒的现象： 是否有一台或几台电脑可以上网，而其他电脑不能上网(不是必然的现象，也有可能是 其他网络问题导致这个现象) 客户机器上 ARP缓存中不同IP地址对应的MAC地址是一样的(例外:如果正巧查的是那 台中毒的电脑，就没有这个现象) 方法: 在命令行窗口输入: arp –a 可以看到ARP缓存中的MAC地址对应表，如图，如果有两个IP对应的MAC地址一样，就表 明有可能网络中了ARP病毒。 U（推荐先使用这种方法查看） 3. 交换机 MAC表上MAC地址有的是一样的，这个需要工程师查看交换机MAC表信息 4. 交换机上会有警报日志，有 MAC地址冲突(这个需要工程师查看交换机日志) 2. 定位病毒源 1．使用 arp –a查看： 如果 10.28.133.1是正确的网关的话，10.28.133.107 就是感染了ARP欺骗病毒的电脑（U推 荐先使用这种方法U） 2．使用特殊的TSC工具，在文件包中有(ARP)TSC.zip（推荐使用） 通过把这个TSC部署到客户端，这个TSC找到病毒源头 步骤: ?? 将 TSC 工具从 OfficeScan 中央控制台部署到客户端 ?? 从中央控制台命令客户端进行扫描 ?? 扫描完毕后检查中央控制台的病毒日志记录，搜索日志中的 POSSIBLE_ARP 记录，通过 该记录可以找到感染源的机器名。 3．在交换机和路由器上看 MAC地址表,查看是否有重复的MAC地址，然后查找对应的IP地 址，找到该电脑。 3. 排除网络瘫痪问题 这个时候有两种方法来快速恢复网络。 1）拔掉此机器的网线(推荐使用的方法)。 2)如果你的二层交换机支持单个端口的配置，那么U封锁此网卡连接的交换机的端口U。 通过以上两种方式隔离此机器后，等ARP缓存更新后，其他机器即可正常联网。一般来说 MS Windows 高速缓存中的每一条记录包括ARP的生存时间一般为60秒。 4. 抓获 ARP欺骗病毒样本 1. 使用 SIC2.0 ARP 版本收集系统信息 SIC 2.0 ARP 版本 是一个特殊的 SIC 版本，专门收集 ARP 欺骗的相关信息， 使用的方法和 SIC2.0 一样， 收集到 SIC LOG 后把 SIC 日志发给趋势科技病毒工程师分析处理。 2. 使用 Icesword查找可疑的进程 如遇有无法收集有效信息的情况（病毒采用 Rootkit技术进行自身的隐藏），使用 Icesword （Rootkit 检测工具）检查是否有隐藏项目，在Icesword中隐藏的进程、文件和服务会以红色显示。 Icesword 使用说明 ?? 通过 Icesword 检查隐藏进程 需要使用到的工具： ?? 通过 Icesword 检查隐藏服务 ?? 通过 Icesword 检查隐藏文件 如果有检测到隐藏进程（用红底标出），请将这些文件使用WINRAR等压缩软件压缩成ZIP格式，并且加密（密码：virus），然后传给我们。 5. 绑定 MAC地址 为了让客户可以正常上网，需要用 Officescan 工具 Deploy 一个 MAC 地址的绑定工具， 这 个工具可以在客户端把正确的网关 IP 地址和正确的 MAC 地址做一个绑定，这样就可以防 止 ARP 欺骗,以绝后患。 工具 Deploy 的方法如下: 服务器端: 1．解压缩后,将 ipmac_binds_tools.exe 放置在 osce 服务器安装目录下的 admin 目录中 2．修改配置文件: 在 osce 服务器安装目录下的 Autopcc.cfg 目录中,找到 ap95.ini 以及 apnt.ini 文件,在这两个文 件中添加行 admin\ipmac_binds_tools.exe 3．然后执行 osce 服务器安装目录下 Admin\Utility\Touch 中的 tmtouch.exe. 注意以上操作请在服务器端进行。