ARP病毒防治方案.docVIP

ARP病毒防治方案 ARP病毒利用ARP协议的漏洞，发送假的ARP数据包，使得同网段的计算机误以为中毒计算机是网关，造成其它计算机上网中断。为了避免中毒计算机对网络造成影响，趋势科技提供以下解决方案，解决ARP病毒问题： 采用网关MAC地址绑定工具，避免用户遭受攻击： ARP病毒主要作用是发送假的ARP数据包，修改其他计算机的ARP缓存，让其他计算机误以为中毒计算机是网关，将数据包发送到中毒计算机。因此在客户机上绑定网关的MAC地址，可以有效地避免用户遭受中毒计算机的袭击，影响用户上网。 趋势科技提供网关MAC地址绑定工具 ，通过运行该工具可以使用户计算机的ARP表中静态绑定网关的MAC地址。 部署方式： 建议采用AD下发的方式，通过域服务器将该文件部署到各加入域的计算机，并添加注册表启动项，使得所有登陆域服务器的计算机都会自动执行该程序，以绑定网关MAC地址； 将该程序放置于防病毒服务器的PCCSRV目录下，修改登录域脚本，添加如下内容：\\\ofcscan\ipmac_bind_tools_silent.exe，这样加入域的计算机在启动检查完防病毒软件的安装情况之后，会自动连接到防病毒服务器运行该程序，绑定网关MAC地址，注意其中的ip地址需要替换成实际环境的地址； 同时可将该工具放置于共享服务器上，让没有加入AD域的计算机，可让自己运行该工具，运行该工具不会弹出任何窗口，不会对用户造成影响。 如果没有域环境，趋势科技提供专用的TSC程序，通过部署TSC的方式，将该程序部署到所有安装有Officescan的客户端，并自动执行该程序。部署方法如下:服务器端: 1.解压缩后,将ARP_Prevent.v999 目录下的TSC.exe ,TSC.ptn , ipmac_binds_tools.exe 放置在OSCE服务器安装目录下的admin目录中 2.修改配置文件: 在OSCE服务器安装目录下的Autopcc.cfg目录中,找到ap95.ini以及apnt.ini文件,在这两个文件中添加行admin\ipmac_binds_tools.exe. 3.然后执行osce服务器安装目录下Admin\Utility\Touch中的tmtouch.exe: 将Admin\Utility\Touch中的tmtouch.exe复制到Admin目录下，然后在命令行模式下切换到C: \Program Files\Trend Micro\OfficeScan\PCCSRV\Admin下执行 Tmtouch tsc.exe Tmtouch tsc.ptn Tmtouch ipmac_binds_tools.exe 此命令会将以上文件的修改时间改为服务器的当前系统时间 注意: 请确保服务器当前系统时间是正确的，如果服务器系统时间低与客户端系统时间则可能会导致自动部署失败 注意以上操作请在服务器端进行。 部署该工具的同时需要联络AV team，以提供一个特别版本的DCT用于自动执行被部署的arp攻击防护工具，该工具在被执行后会在系统中生成自启动项目，保证每次系统启动时该工具都可自动执行。被部署的特别版本DCT需要在arp攻击防护工具成功执行后，使用正常版本的DCT重新部署一次，以恢复客户的osce客户端的病毒清除能力。 该工具运行一遍之后会自动在开始所有程序启动中添加启动文件ipmac_bind_tools_silent.exe，保证计算机开机即运行该程序。 工具运行结果： 在没有运行该工具之前，在命令行方式下输入arp –a命令可以看见本机的ARP缓存信息，如下图所示，dynamic表示当前ARP信息是动态获取的： 将工具解压缩到本机，然后运行ipmac_blind_tool.exe，等待鼠标由后台运行图标变为正常状态图标后，即表示工具运行完毕。 工具运行完毕之后，在命令行方式下执行ARP –a命令，会得到以下结果，其中static表示目前的IP地址与MAC地址是绑定状态： 同时在计算机开始所有程序启动中能够看见其启动项，保证计算机重启时会自动运行该工具。 采用爆发阻止策略阻止感染病毒： 适用范围：所有安装有Officescan客户端，并且在线的计算机；其他处于漫游状态的计算机或者离线的计算机以及未安装Officescan客户机的计算机无法获取策略信息，因此无法受到该策略的保护。 爆发阻止策略部署方法如下： 在IE中输入/officescan进入Officescan控制台，点击“爆发阻止”，如下图所示，注意其中的ip地址需要替换成实际环境的地址： 在右边选择“防毒墙网络版服务器”然后点击左边“爆发阻止”下的“立即部署”； 在出现的爆发阻止配置界面中勾选“拒绝写入文件和文件夹Officescan客户端的版本以及病毒码状况。扫