移動(dòng)oa辦公系統(tǒng)管理維護(hù)技巧：ARP病毒的清除

相信很多電腦用戶都有過ARP欺騙木馬的中毒現(xiàn)象，今天就來(lái)教大家用移動(dòng)oa辦公系統(tǒng)維護(hù)技巧來(lái)清除ARP病毒。

1、ARP攻擊

針對(duì)ARP的攻擊主要有兩種，一種是DOS,一種是Spoof。 ARP欺騙往往應(yīng)用于一個(gè)內(nèi)部移動(dòng)辦公oa，我們可以用它來(lái)擴(kuò)大一個(gè)已經(jīng)存在的移動(dòng)辦公oa安全漏洞。如果你可以入侵一個(gè)子網(wǎng)內(nèi)的機(jī)器，其它的機(jī)器安全也將受到ARP欺騙的威脅。同樣，利用APR的DOS甚至能使整個(gè)子網(wǎng)癱瘓。

2、對(duì)ARP攻擊的防護(hù)

防止ARP攻擊是比較困難的,修改協(xié)議也是不大可能。但是有一些工作是可以提高本地移動(dòng)辦公oa的安全性。首先，你要知道，如果一個(gè)錯(cuò)誤的記錄被插入ARP或者IP route表，可以用兩種方式來(lái)刪除。

a. 使用arp –d host_entry

b. 自動(dòng)過期，由系統(tǒng)刪除

這樣，可以采用以下移動(dòng)OA辦公系統(tǒng)維護(hù)技巧：

移動(dòng)oa辦公系統(tǒng)維護(hù)技巧1. 減少過期時(shí)間

#ndd –set /dev/arp arp_cleanup_interval 60000

#ndd -set /dev/ip ip_ire_flush_interval 60000

60000=60000毫秒 默認(rèn)是300000

加快過期時(shí)間，并不能避免攻擊，但是使得攻擊更加困難，帶來(lái)的影響是在移動(dòng)辦公oa中會(huì)大量的出現(xiàn)ARP請(qǐng)求和回復(fù)，請(qǐng)不要在繁忙的移動(dòng)辦公oa上使用。

移動(dòng)oa辦公系統(tǒng)維護(hù)技巧２. 建立靜態(tài)ARP表

這是一種很有效的方法，而且對(duì)系統(tǒng)影響不大。缺點(diǎn)是破壞了動(dòng)態(tài)ARP協(xié)議?？梢越⑷缦碌奈募?。

test.nsfocus.com 08:00:20:ba:a1:f2

user. nsfocus.com 08:00:20:ee:de:1f

使用arp –f filename加載進(jìn)去，這樣的ARP映射將不會(huì)過期和被新的ARP數(shù)據(jù)刷新，除非使用arp –d才能刪除。但是一旦合法主機(jī)的網(wǎng)卡硬件地址改變，就必須手工刷新這個(gè)arp文件。這個(gè)方法，不適合于經(jīng)常變動(dòng)的移動(dòng)辦公oa環(huán)境。

移動(dòng)oa辦公系統(tǒng)維護(hù)技巧3．禁止ARP 

可以通過ifconfig interface –arp 完全禁止ARP，這樣，網(wǎng)卡不會(huì)發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表，如果不在apr表中的計(jì)算機(jī) ，將不能通信。這個(gè)方法不適用與大多數(shù)移動(dòng)辦公oa環(huán)境，因?yàn)檫@增加了移動(dòng)oa辦公系統(tǒng)的成本。但是對(duì)小規(guī)模的安全移動(dòng)辦公oa來(lái)說(shuō)，還是有效和可行的。

按以下順序刪除病毒組件

1) 刪除 ”病毒組件釋放者”

%windows%SYSTEM32LOADHW.EXE

2) 刪除 ”發(fā)ARP欺騙包的驅(qū)動(dòng)程序” (兼 “病毒守護(hù)程序”)

%windows%System32driversnpf.sys

a. 在設(shè)備管理器中, 單擊”查看”-->”顯示隱藏的設(shè)備”

b. 在設(shè)備樹結(jié)構(gòu)中,打開”非即插即用….”

c. 找到” NetGroup Packet Filter Driver” ,若沒找到,請(qǐng)先刷新設(shè)備列表

d. 右鍵點(diǎn)擊” NetGroup Packet Filter Driver” 菜單,并選擇”卸載”.

e. 重啟windows系統(tǒng),

f. 刪除%windows%System32driversnpf.sys

3) 刪除 ”命令驅(qū)動(dòng)程序發(fā)ARP欺騙包的控制者”

%windows%System32msitinit.dll

4).刪除以下”病毒的假驅(qū)動(dòng)程序”的注冊(cè)表服務(wù)項(xiàng):

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNpf

三、移動(dòng)oa辦公系統(tǒng)維護(hù)技巧之**ARP攻擊源頭和防御方法

1．**ARP攻擊源頭

主動(dòng)**方式：因?yàn)樗械腁RP攻擊源都會(huì)有其特征——網(wǎng)卡會(huì)處于混雜模式，可以通過ARPKiller這樣的工具掃描網(wǎng)內(nèi)有哪臺(tái)機(jī)器的網(wǎng)卡是處于混雜模式的，從而判斷這臺(tái)機(jī)器有可能就是“元兇”。**好機(jī)器后，再做病毒信息收集，提交給趨勢(shì)科技做分析處理。

標(biāo)注：網(wǎng)卡可以置于一種模式叫混雜模式（promiscuous），在這種模式下工作的網(wǎng)卡能夠收到一切通過它的數(shù)據(jù)，而不管實(shí)際上數(shù)據(jù)的目的地址是不是它。這實(shí)際就是Sniffer工作的基本原理：讓網(wǎng)卡接收一切它所能接收的數(shù)據(jù)。

被動(dòng)**方式：在局域網(wǎng)發(fā)生ARP攻擊時(shí)，查看交換機(jī)的動(dòng)態(tài)ARP表中的內(nèi)容，確定攻擊源的MAC地址；也可以在局域居于網(wǎng)中部署Sniffer工具，**ARP攻擊源的MAC。

也可以直接Pin**關(guān)IP，完成Ping后，用ARP –a查看網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址，此MAC地址應(yīng)該為欺騙的MAC。

使用NBTSCAN可以取到PC的真實(shí)IP地址、機(jī)器名和MAC地址，如果有”ARP攻擊”在做怪，可以找到裝有ARP攻擊的PC的IP、機(jī)器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整個(gè)192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設(shè)查找一臺(tái)MAC地址為“000d870d585f”的病毒主機(jī)。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運(yùn)行—打開，輸入cmd（windows98輸入“command”），在出現(xiàn)的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入），回車。

3）通過查詢IP--MAC對(duì)應(yīng)表，查出“000d870d585f”的病毒主機(jī)的IP地址為“192.168.16.223”。

通過上述方法，我們就能夠快速的找到病毒源，確認(rèn)其MAC——〉機(jī)器名和IP地址。

2．防御方法

a.使用可防御ARP攻擊的三層交換機(jī)，綁定端口-MAC-IP，限制ARP流量，及時(shí)發(fā)現(xiàn)并自動(dòng)阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

b.對(duì)于經(jīng)常爆發(fā)病毒的移動(dòng)辦公oa，進(jìn)行Internet訪問控制，限制用戶對(duì)移動(dòng)辦公oa的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端，如果能夠加強(qiáng)用戶上網(wǎng)的訪問控制，就能極大的減少該問題的發(fā)生。

c.在發(fā)生ARP攻擊時(shí)，及時(shí)找到病毒攻擊源頭，并收集病毒信息，可以使用趨勢(shì)科技的SIC2.0，同時(shí)收集可疑的病毒樣本文件，一起提交到趨勢(shì)科技的TrendLabs進(jìn)行分析，TrendLabs將以最快的速度提供病毒碼文件，從而可以進(jìn)行ARP病毒的防御。

ARP

我們知道，當(dāng)我們?cè)跒g覽器里面輸入網(wǎng)址時(shí)，DNS服務(wù)器會(huì)自動(dòng)把它解析為IP地址，瀏覽器實(shí)際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉(zhuǎn)換為第二層物理地址（即MAC地址）的呢？在局域網(wǎng)中，這是通過ARP協(xié)議來(lái)完成的。ARP協(xié)議對(duì)移動(dòng)辦公oa安全具有重要的意義。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在移動(dòng)辦公oa中產(chǎn)生大量的ARP通信量使移動(dòng)辦公oa阻塞。所以網(wǎng)管們應(yīng)深入理解ARP協(xié)議。

一、什么是ARP協(xié)議

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，移動(dòng)辦公oa中實(shí)際傳輸?shù)氖?ldquo;幀”，幀里面是有目標(biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。

二、ARP協(xié)議的工作原理

在每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的，如附表所示。

我們以主機(jī)A（192.168.1.5）向主機(jī)B（192.168.1.1）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對(duì)應(yīng)的IP地址，主機(jī)A就會(huì)在移動(dòng)辦公oa上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“192.168.1.1的MAC地址是什么？”移動(dòng)辦公oa上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。

ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在移動(dòng)辦公oa中產(chǎn)生大量的ARP通信量使移動(dòng)辦公oa阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成移動(dòng)辦公oa中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)移動(dòng)辦公oa中，局域網(wǎng)中若有一個(gè)人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過“ARP欺騙”手段截獲所在移動(dòng)辦公oa內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。

三、移動(dòng)oa辦公系統(tǒng)維護(hù)技巧之如何查看ARP緩存表

ARP緩存表是可以查看的，也可以添加和修改。在命令提示符下，輸入“arp -a”就可以查看ARP緩存表中的內(nèi)容了。

用“arp -d”命令可以刪除ARP表中某一行的內(nèi)容；用“arp -s”可以手動(dòng)在ARP表中指定IP地址與MAC地址的對(duì)應(yīng)。

四、移動(dòng)oa辦公系統(tǒng)維護(hù)技巧之了解ARP欺騙原理

其實(shí)，此起彼伏的瞬間掉線或大面積的斷網(wǎng)大都是ARP欺騙在作怪。ARP欺騙攻擊已經(jīng)成了破壞網(wǎng)吧經(jīng)營(yíng)的罪魁禍?zhǔn)?，是網(wǎng)吧老板和網(wǎng)管員的心腹大患。

從影響移動(dòng)辦公oa連接通暢的方式來(lái)看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“移動(dòng)辦公oa掉線了”。

一般來(lái)說(shuō)，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會(huì)造成大面積掉線。有些網(wǎng)管員對(duì)此不甚了解，出現(xiàn)故障時(shí)，認(rèn)為PC沒有問題，交換機(jī)沒掉線的“本事”，電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時(shí)，只要重啟路由器，移動(dòng)辦公oa就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。

作為網(wǎng)吧路由器的廠家，對(duì)防范ARP欺騙不得已做了不少份內(nèi)、份外的工作。一、在寬帶路由器中把所有PC的IP-MAC輸入到一個(gè)靜態(tài)表中，這叫路由器IP-MAC綁定。二、力勸網(wǎng)管員在內(nèi)網(wǎng)所有PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC機(jī)IP-MAC綁定。一般廠家要求兩個(gè)工作都要做，稱其為IP-MAC雙向綁定。

顯示和修改“地址解析協(xié)議”(ARP) 所使用的到以太網(wǎng)的 IP 或令牌環(huán)物理地址翻譯表。該命令只有在安裝了 TCP/IP 協(xié)議之后才可用。

arp -a [inet_addr] [-N [if_addr]

arp -d inet_addr [if_addr]

arp -s inet_addr ether_addr [if_addr]

參數(shù)

-a

通過詢問 TCP/IP 顯示當(dāng)前 ARP 項(xiàng)。如果指定了 inet_addr，則只顯示指定計(jì)算機(jī)的 IP 和物理地址。

-g

與 -a 相同。

inet_addr

以加點(diǎn)的十進(jìn)制標(biāo)記指定 IP 地址。

-N

顯示由 if_addr 指定的移動(dòng)辦公oa界面 ARP 項(xiàng)。

if_addr

指定需要修改其地址轉(zhuǎn)換表接口的 IP 地址（如果有的話）。如果不存在，將使用第一個(gè)可適用的接口。

-d

刪除由 inet_addr 指定的項(xiàng)。

-s

在 ARP 緩存中添加項(xiàng)，將 IP 地址 inet_addr 和物理地址 ether_addr 關(guān)聯(lián)。物理地址由以連字符分隔的6 個(gè)十六進(jìn)制字節(jié)給定。使用帶點(diǎn)的十進(jìn)制標(biāo)記指定 IP 地址。項(xiàng)是永久性的，即在超時(shí)到期后項(xiàng)自動(dòng)從緩存刪除。

ether_addr

指定物理地址。

五、遭受ARP攻擊后現(xiàn)象

ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時(shí)會(huì)突然掉線，過一段時(shí)間后又會(huì)恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無(wú)法ping通網(wǎng)關(guān)），重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后，又可恢復(fù)上網(wǎng)。
ARP欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng)，嚴(yán)重的甚至可能帶來(lái)整個(gè)移動(dòng)辦公oa的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶密碼。如盜取QQ密碼、盜取各種移動(dòng)辦公oa游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。 

通過以上了解ＡＲＰ原理及受到攻擊后的現(xiàn)象后再結(jié)合上面所說(shuō)的移動(dòng)oa辦公系統(tǒng)維護(hù)技巧，ＡＲＰ病毒就并不可怕了。

【相關(guān)閱讀】

◆ 移動(dòng)oa辦公系統(tǒng)基礎(chǔ)知識(shí)：成長(zhǎng)為高級(jí)網(wǎng)管的必備知識(shí)

◆移動(dòng)oa辦公系統(tǒng)基礎(chǔ)知識(shí):移動(dòng)oa辦公系統(tǒng)員工作如何開始

◆移動(dòng)oa辦公系統(tǒng)維護(hù)技巧：如何快速完成移動(dòng)辦公oa測(cè)試

◆移動(dòng)oa辦公系統(tǒng)維護(hù)技巧：如何解決Windows中常見問題

◆移動(dòng)辦公app管理專區(qū)

◆網(wǎng)管軟件專區(qū)