瑞星安全方案 - 克拉玛依教研网.pptVIP

产品介绍 瑞星简介 北京瑞星科技股份有限公司成立于1998年4月，其前身为1991 年成立的北京瑞星电脑科技开发部，是中国最早从事计算机病毒防治与研究的大型专业企业。 瑞星以研究、开发、生产及销售计算机反病毒产品、网络安全产品和反“黑客”防治产品为主。 06年防病毒市场第一 “2006”信息安全重灾年 网络信息安全之惑 网络安全防护误区 使用单机版杀毒软件保护网络； 认为不用软盘、优盘等移动设备，就不会感染病毒，因而无需选择杀毒软件； 认为只要在内外网连接处架设了防毒网关设备，内网中就无需再安装杀毒软件； 杀毒软件不及时升级、缺少统一的安全策略和安全规范； 重“杀”不重“防”，未建立漏洞修补机制、网络中存在过多不必要的共享和服务等不安全设置； 只针对服务器进行重点防护，忽视客户端的安全使用， 缺乏对终端用户的安全指导和安全教育； 忽视对Unix和Linux系统的病毒防范； …… 病毒发展现状 网络病毒的特点 世界级反病毒水平 全面支持各种平台 分布式体系结构 网络版核心功能（下） 多中心部署效果图 智能化“组策略” 全网漏洞管理 日志统计分析 瑞星防病毒网关 瑞星防病毒网关功能 文件扫毒引擎 6种 应用协议 几十万 签名 深层防护 还能清除病毒 防病毒网关管理界面 防病毒网关分析界面 防病毒网关产品型号 产品规格 技术规格 瑞星整体安全解决方案 本地化的服务 瑞星的优势 防治ARP病毒案例 基本ARP介绍 ARP “Address Resolution Protocol”（地址解析协议），局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 ARP欺骗原理  在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义，但是当初ARP方式的设计没有考虑到过多的安全问题，给ARP留下很多的隐患，ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞，通过伪造MAC地址实现ARP欺骗的攻击技术。　　在同一局域网内的电脑都是通过MAC地址进行通讯的。方法为，PC和另一台设备通讯，PC会先寻找对方的IP地址，然后在通过ARP表（ARP表里面有所以可以通讯IP和IP所对应的MAC地址）调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址，而不是IP地址。　　网内的任何一台机器都可以轻松的发送ARP广播，来宣称自己的IP和自己的MAC.这样收到的机器都会在自己的ARP表格中建立一个他的ARP项，记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件，就可以在局域网内进行ARP欺骗攻击了。 ARP病毒的发现 ARP的通病就是掉线，在掉线的基础上可以通过以下几种方式判别，1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限，过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP，使受骗的机器回复正常。但是如果出现攻击性ARP欺骗（其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的），他是不断的通过非常大量ARP欺骗来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。 ARP病毒的发现 2.打开被骗机器的DOS界面，输入ARP -A命令会看到相关的ARP表，通过看到的网关的MAC地址可以去判别是否出现ARP欺骗，但是由于时限性，这个工作必须在机器回复正常之前完成。如果出现欺骗问题，ARP表里面会出现错误的网关MAC地址，和真实的网关MAC一对黑白立分。 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 解决办法 采用客户机及网关服务器上进行静态ARP绑定的办法来解决。arp –s 00-02-ba-0b-04-32 如果网络规模较少，尽量使用手动指定IP设置，而不是使用DHCP来分配IP地址。 有条件的网络可以在交换机内进行IP地址与MAC地址绑定 病毒源，对病毒源头的机器进行处理，杀毒此操作比较重要，解决了ARP攻击的源头PC机的问题，可以保证内网免受攻击。瑞星可杀除该病，病毒命名为：TrojanDropper.Win32.Juntador.f 。 解决办法 给系统安装补丁程序，通过Windows Update安装好系统补