Skip to main content

关于ARP病毒的解决

自“威金”系列病毒流行过后,耳边安静了很多,也不再有那么多被病毒破坏的系统了。近期主要的影响多是 浏览器恶意插件病毒/木马下载器广告软件 等威胁用户数据安全的恶软,相比“熊猫烧香”还是要温和许多。对于个人用户,推荐安装 Safe360安全卫士 + Kaspersky 卡巴单机版 即可高枕无忧了(要用360勤检查,我的卡巴除了保持更新从来没开启保护过,感觉7.0比6.0占资源多)。

      除此之外比较活跃的就是ARP病毒了,它已经成了局域网的主要威胁,而且不像单机病毒那样容易清除。ARP病毒往往与木马程序、漏洞攻击工具相结合进行恶意活动。比如:通过IP欺诈手段接收到网络上的数据包,并对其进行解密盗取账号信息;伪装成网关,对HTTP请求进行修改插入恶意网页代码,该恶意代码利用MS06-014、MS07-017等系统漏洞向其它计算机植入木马、病毒。这样,如果局域网中存在一台中ARP病毒的主机,顷刻间,整个网段的电脑都将中毒,沦为黑客手中的僵尸网络。

下面就ARP病毒的解决提出一些意见。
快速判断ARP病毒
      关于ARP的原理这里就不赘述了,感染ARP病毒的计算机通过向全网发送ARP欺骗广播,把自身伪装成网关或其它计算机,导致网络通讯混乱,如:IP地址冲突、上不了网、打开网页慢、Ping不通网关等(要排除下载软件的问题)。
      这时候在命令行里敲入 arp -a 查看本地的ARP缓存,会发现大量IP地址到MAC地址的映射,重启机器或者通过 arp -d 命令清理ARP缓存后,又可恢复上网一段时间。这就是APR病毒欺骗攻击造成的。

抵制ARP病毒的影响: 
      用 arp -d 命令清空ARP缓存,但在动态更新的作用下不久又会充斥虚假映射信息。这时可以通过手动绑定静态映射关系,来避免被病毒修改伪造,绑定的命令为:
arp –s 192.168.0.5 00-50-56-C0-00-01  (IP地址后跟网卡MAC地址)
绑定完后再用arp –a查看arp缓存,
--------------------------------------------------------
Internet Address     Physical Address        Type
192.168.0.5            00-50-56-C0-00-01    static
--------------------------------------------------------
会发现映射的类型变为static(静态,而不是dynamic),就不会再受局域网内ARP攻击影响了。但是,手工绑定的映射在计算机重启后会丢失,需重新绑定。还好我们有专门的工具帮我们完成这个工作,最下面有软件下载链接及简单说明。另外还可以借助网络设备,将经过交换机的所有ARP(请求与回应)报文重定向到CPU,利用手工配置的IP+MAC+端口静态绑定表,对ARP报文进行合法性检测(对于H3C的交换机配置可参考这篇文档)。

彻底清除ARP病毒: 
      以上还是治标不治本的办法,通过分析找出感染的计算机并对其进行杀病毒才能到清除病毒的目的。
      我觉得最快的方式是利用网络设备查找病灶,对于可网管交换机,通过命令行或Web界面查看端口情况,找出流量异常(也就是数据量比其它端口大很多,但又不是网关设备)的端口,则对端连接的计算机应该就是问题机器,然后将这些机器断网杀毒(平时要注意实时更新病毒库,流行的ARP病毒通常都可以杀掉,个别的到网上搜一搜专杀工具吧)。对于傻瓜型交换机如果能直接接触到设备也可以判断,观察哪个端口的指示灯正狂闪,那么对应的计算机就有问题。
      如果对网络设备不怎么接触,对网络运行机制不甚了解,那么最方便可行的办法依然是利用的反病毒工具。

病毒预防
      对于这一点要说的比较少了,无非就是实时更新你的病毒库(还有一个基本前提是要选好杀毒软件啦),及时打上系统安全补丁,防止IE设置被篡改,经常留意启动项,这些用Safe360都可以方便搞定的。还有,少上一些非常规网站也是好的建议。

关于反ARP病毒工具的使用: 
      个人觉得奇虎的360ARP防火墙使用起来比较简单,下面附上界面及简单说明。
打开软件主界面会显示系统当前状况,如果正遭ARP攻击则自动显示攻击源IP地址,开启防火墙就可以对攻击进行有效拦截。


设置项里可以手动添加IP地址到MAC地址的映射自定义保护多个网关,这里绑定的映射在重启后仍然有效(不要把软件关掉了),一般选“自动获取并保护网关”即可。


记录项里可以查看当前的ARP攻击拦截记录,并通过这些记录找出问题主机。比如出现一堆这样的记录:“外部攻击   源IP: 192.168.0.77 源MAC: 00-0C-29-FA-A1 ........ "
那么0.77 就是问题主机,接下来根据你的地址表找出其物理位置,对该机器进行杀毒。


      还有一款命令行扫描工具NbtScan,可用于扫描网络中PC的真实IP地址和MAC地址。下载nbtscan.rar后进行解压,将cygwin1.dll和nbtscan.exe两文件拷贝到%SystemRoot%\system32 目录下即可在命令行运行,常用到下面两个命令:
      nbtscan -r 192.168.0.0/24 (搜索整个192.168.0.0/24网段)
      nbtscan 192.168.0.100-200(搜索192.168.0.100-192.168.0.200地址段)

      此外常用的反ARP病毒工具还有 Anti ARP Sniffer,它可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。功能和360的差不多,易操作性没360好。
====================================================

相关软件及下载:
360ARP防火墙 | NbtScan | Antiarp Sniffer | 常用恶软专杀工具

Comments

Popular posts from this blog

关于VMware虚拟网卡网络问题的处理

本篇适用情形: VMware虚机拷贝或移动后网络问题 其它虚机格式转换VMware虚机后网络问题 VMware虚机虚拟网卡设置问题 修改VMware虚机虚拟网卡类型 Ubuntu 16.04虚拟机网卡设置问题 Highlight: /etc/network/interface       //网卡配置文件(ubuntu) lspci -vk lsmod ifconfig –a ethtool resolvconf -u 正文: 【 Step1】 在着手解决问题之前,先查看一下VMware虚机的网卡配置是否正常。打开虚机目录下的 xxx.vmx   文件,找到虚拟网卡的配置信息(第1块网卡通常为ethernet0),例如: VMware虚拟网卡有以下几种设备类型: ethernet0.virtualDev = "vlance"          //AMD PCNet AM79C970A 10/100Mbps ethernet0.virtualDev = "e1000"          //Intel(R) 82545EM PRO/1000 PCI ethernet0.virtualDev = "e1000e"        //Intel(R) 82545L PRO/1000 PCIe ethernet0.virtualDev = "vmxnet"        //VMware PCI Ethernet Adapter VMware Workstation / Player 建的虚机默认“vlance” 是一块比较老的百兆网卡,可以修改为e1000或e1000e(这两者的区别可以看做一块是pci网卡一块是pcie接口网卡);没有正常安装vmware tools的情况下,不建议改为“vmxnet”。 以下...

Bitwarden 配置 Let’s Encrypt 证书

由于在内网环境部署的Bitwarden,不能通过安装脚本自动申请 Let’s Encrypt 的证书。 起初我用了一个自签名证书,发现特别不好使,虽然在firefox 跟 chrome 内核的浏览器上都能通过插件访问,但必须添加信任才行,特别是用Bitwarden Desktop 客户端连的时候,一直报错,可能是不认自签名证书。 于是琢磨了下怎么手动申请Let’s Encrypt的证书用于内网,对过程简单梳理如下。 自签名证书 | Self-Signed Certificate 如果你在内网环境只需要自签名证书,可以参考Bitwarden的帮助文档( Installing and depoying )进行设置: 1、生成自签名证书: //一条命创建私钥和证书: openssl req -x509 -newkey rsa:4096 -sha256 –nodes -days 10950 \    -keyout privite.key -out identity.crt \    -subj "/C= US /ST= New York /L= New York /O= Company Name /OU= CREAST /CN= bw.creast.win " 将生成的文件放到 /ssl 目录下: privite.key     ~/bwdata/ssl/ bw.creast.win/private.key identity.crt      ~/bwdata/ssl/ bw.creast.win/identity.crt 2、生成.pfx格式证书文件: //一条命令将前面生成的私钥和证书打包成需要的pfx格式文件 openssl pkcs12 -export -out ./ identity.pfx -inkey privite.key \    -in identity.crt -certfile identity.crt -passout pass: IDENTITY_CERT_PASSWORD ...

Tor洋葱路由的设置与使用

先说明一下,这里只是利用Tor来访问被GWF屏蔽的优秀服务(如Wikipedia、Blogger、GG App等),并不侧重于如何匿名访问网络。以下Tor设置方法适用于: MS Windows(2000/XP/Vista/Server)系统 第一步:下载并安装Tor 关于Tor(The Onion Router,洋葱路由)的工作原理,可以参考枪旗工作室的说明 ( http://tcno.net/doc/tor/#para1 )。在Windows下安装配置Tor已经非常容易了,直接下载这样一个Tor的Windows 捆绑软件包( Vidalia-Tor-Privoxy Bundle ),其中已经预先配置好这些软件能够一同工作。 安装前可以看到套件捆绑了哪些软件:Tor、Vidalia(Tor 的一个图形用户界面)和 Privoxy(Web 代理软件)、Torbutton(Firefox浏览器插件)全选这些软件进行安装。 安装完成后会自动运行Vidalia,在弹出的控制面板上可以看到当前的状态,Tor已经运行了,此时不需要再进行其它设置了。 第二步:配置浏览器使用Tor 如果使用 Firefox 浏览器,Bundle里已经附带了 Torbutton 插件 ,打开/重启Firefox就会在右下角显示Tor Enabled/Disabled,单击它可以选择是否开启Tor代理功能。 对于 Internet Explorer 没有现成的插件可用,需要手动配置代理设置,也很容易。 菜单位置 工具 - Internet 选项 - 连接 - 局域网设置 - 代理服务器 - 高级 - 服务器 在代理理服务器地址栏里填入 "localhost",端口为 "8118"(Privoxy不支持FTP代理,填不填都无所谓了);注意套接字SOCKS代理的端口为 "9050",如果有其它选项,请选择Socks5,然后"确定"即可。 对于 Maxthon ,如果对IE设置了Tor可以选择“使用IE代理设置”,或者手动添加一个代理列表,内容与上面填写的一样,然后选择应用就可以了。 这里说明一下 Privoxy 的作用,因为当直接使用 SOCKS 代理时,浏览器会泄露...