专家解读APR病毒

当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。如图8。

 

 

 

图8 用Ethereal抓包工具定位出ARP中毒电脑

 

从图8中的红色框内的信息可以看出,192.168.0.109 这台电脑正向全网发送大量的ARP广播包,一般的讲,局域网中有电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑。

以上三种方法有时需要结合使用,互相印证,这样可以快速准确的将ARP中毒电脑定位出来。

 

六、ARP病毒电脑的查杀方法

通过上述的方法,已经找到了ARP中毒电脑,那么接下来的操作就是如何杀毒了。有一点需要注意的是:当找到中毒电脑后,应该立即拔掉中毒电脑的网线,以免其继续发包干扰全网的运行。

对于ARP病毒电脑的查杀办法,首先可以利用杀毒软件杀毒,但是由于现在病毒变种极其繁多,有可能遇到杀毒软件查不出来的情况,这时候就需要借助手工杀毒的办法了,下面介绍一些经验。

根据一些经验,较老类型的ARP病毒运行特征比较隐蔽,电脑中毒时并无明显异常现象,这类病毒运行时自身无进程,通过注入到Explorer.exe进程来实现隐藏自身。其注册表中的启动项也很特殊,并非常规的Run键值加载,也不是服务加载,而是通过注册表的AppInit_DLLs 键值加载实现开机自启动的,这一点比较隐蔽,因为正常的系统AppInit_DLLs键值是空的。也正由于这个特点,利用Autoruns这个工具软件就可以快速扫描出病毒文件体,如图9。

 

 

图9 Autoruns工具检测出病毒文件主体

上图中红色框内的部分,就是ARP病毒文件主体,该文件虽然扩展名为log,看似很像是系统日志文件,但其实,它是一个不折不扣的病毒!除了Log形式的病毒文件,还有一些以Bmp作为扩展名的病毒文件,同样,这些病毒文件也不是图片文件,而是EXE格式的可执行文件,在同目录下还有同名的dll文件,这些都是病毒体。

%WinDir%\ KB*.log

或者

%WinDir%\ *.bmp

%WinDir%\同名.dll

如何区别正常的log日志文件,bmp图片文件和病毒文件呢?其实很简单,用记事本程序打开该文件,查看其文件头是否有“MZ”的标记即可,如图10就是一个名字为“KB896475.log”的病毒文件。

 

 

图10 一个ARP病毒文件体

找到这些文件后,可以先清除注册表中的相关键值,然后重启系统到安全模式下,手动删除文件即可。

对于最近多发的,修改WEB请求页面的新型ARP病毒,则改变了病毒文件的表现形式,现对简单,利用系统进程查看和启动项查看注册表的Run键值,可以明显发现病毒的文件,另外,利用KV 的未知病毒扫描程序进行检测,也是一个好办法。

七、ARP病毒的网络免疫措施

由于ARP病毒的种种网络特性,可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑,在发送欺骗的ARP数据包,其它电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的网关,用的比较多的办法是“双向绑定法” 。

双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。令一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC机IP-MAC绑定。客户机中的设置方法如下:

新建记事本,输入如下命令:

 

arp -d
arp -s 192.168.0.1  00-e0-4c-8c-9a-47

其中,“arp –d” 命令是清空当前的ARP缓存表,而“arp -s 192.168.0.1 00-e0-4c-8c-9a-47 ”命令则是将正确网关的IP地址和MAC地址绑定起来,将这个批处理文件放到系统的启动目录中,可以实现每次开机自运行,这一步叫做“固化arp表” 。

“双向绑定法”一般在网吧里面应用的居多。

除此之外,很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品,如:华为的H3C AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,是避免IP地址假冒攻击的一种方式。

八、ARP病毒KV解决方案

针对ARP病毒日益猖獗的情况,江民科技推出了整体解决方案:

1.KV杀毒软件每周7天不间断升级病毒库,单机版网络版同步升级,实时拦截来自网络上的各种ARP病毒。

2.针对局域网用户,建议统一部署KV网络版杀毒软件,KV网络版具有全网统一升级病毒库,统一全网杀毒的强大功能,可以彻底查杀来自局域网中的ARP病毒。

3.“KV未知病毒扫描”功能可以识别出绝大多数ARP病毒,KV未知病毒扫描程序采用独特的行为判定技术,可以彻底检测出本机中已知和未知的ARP病毒,协助网络管理员快速清除ARP病毒。

4.特针对企业用户,提供“ARP病毒应急响应服务” ,江民科技网络安全工程师可以上门处理企业用户内网中的ARP病毒,确保快速恢复企业网络的数据通讯安全。

5.KV新版防火墙特增加了ARP病毒防御功能,可以拦截来自局域网中的ARP欺骗数据包,保护本机联网安全。设置界面如图11。

 

 

图11 KV新版防火墙增加了ARP攻击防护功能

KV新版防火墙增加了ARP攻击防护功能,该功能使用方法也很简单,安装完KV防火墙之后,点击“设置”按钮,然后勾选“启用攻击防护功能” ,再点击“自动检测本机网络设置” ,程序就会自动获得本机和网关的IP地址和MAC地址,然后点击确定即可。KV防火墙就会实时检测来自网络中的ARP数据包,发现有异常的数据包欺骗,就会予以拦截,保障本机网络通信安全。

九、关于ARP病毒的网络安全建议

1.在网络正常时候保存好全网的IP—MAC地址对照表,这样在查找ARP中毒电脑时很方便。

2.都全网的电脑都打上MS06-014和MS07-017这两个补丁,包括所有的客户端和服务器,以免感染网页木马。

3.部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。

4.做好IP—MAC地址的绑定工作,对于从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,予以丢弃。

5.部署网络版的杀毒软件,定期升级病毒库,定期全网杀毒。

上一页  [1] [2] [3] 

 
关键字:专家解读APR病毒,ARP攻击怎么办.解决方法.