監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

移動(dòng)oa辦公系統(tǒng)管理維護(hù)技巧:ARP病毒的清除

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

相信很多電腦用戶都有過(guò)ARP欺騙木馬的中毒現(xiàn)象,今天就來(lái)教大家用移動(dòng)oa辦公系統(tǒng)維護(hù)技巧來(lái)清除ARP病毒。

1、ARP攻擊

針對(duì)ARP的攻擊主要有兩種,一種是DOS,一種是Spoof。 ARP欺騙往往應(yīng)用于一個(gè)內(nèi)部移動(dòng)辦公oa,我們可以用它來(lái)擴(kuò)大一個(gè)已經(jīng)存在的移動(dòng)辦公oa安全漏洞。如果你可以入侵一個(gè)子網(wǎng)內(nèi)的機(jī)器,其它的機(jī)器安全也將受到ARP欺騙的威脅。同樣,利用APR的DOS甚至能使整個(gè)子網(wǎng)癱瘓。

2、對(duì)ARP攻擊的防護(hù)

防止ARP攻擊是比較困難的,修改協(xié)議也是不大可能。但是有一些工作是可以提高本地移動(dòng)辦公oa的安全性。首先,你要知道,如果一個(gè)錯(cuò)誤的記錄被插入ARP或者IP route表,可以用兩種方式來(lái)刪除。

a. 使用arp –d host_entry

b. 自動(dòng)過(guò)期,由系統(tǒng)刪除

這樣,可以采用以下移動(dòng)OA辦公系統(tǒng)維護(hù)技巧:

移動(dòng)oa辦公系統(tǒng)維護(hù)技巧1. 減少過(guò)期時(shí)間

#ndd –set /dev/arp arp_cleanup_interval 60000

#ndd -set /dev/ip ip_ire_flush_interval 60000

60000=60000毫秒 默認(rèn)是300000

加快過(guò)期時(shí)間,并不能避免攻擊,但是使得攻擊更加困難,帶來(lái)的影響是在移動(dòng)辦公oa中會(huì)大量的出現(xiàn)ARP請(qǐng)求和回復(fù),請(qǐng)不要在繁忙的移動(dòng)辦公oa上使用。

移動(dòng)oa辦公系統(tǒng)維護(hù)技巧2. 建立靜態(tài)ARP表

這是一種很有效的方法,而且對(duì)系統(tǒng)影響不大。缺點(diǎn)是破壞了動(dòng)態(tài)ARP協(xié)議??梢越⑷缦碌奈募?。

test.nsfocus.com 08:00:20:ba:a1:f2

user. nsfocus.com 08:00:20:ee:de:1f

使用arp –f filename加載進(jìn)去,這樣的ARP映射將不會(huì)過(guò)期和被新的ARP數(shù)據(jù)刷新,除非使用arp –d才能刪除。但是一旦合法主機(jī)的網(wǎng)卡硬件地址改變,就必須手工刷新這個(gè)arp文件。這個(gè)方法,不適合于經(jīng)常變動(dòng)的移動(dòng)辦公oa環(huán)境。

移動(dòng)oa辦公系統(tǒng)維護(hù)技巧3.禁止ARP 

可以通過(guò)ifconfig interface –arp 完全禁止ARP,這樣,網(wǎng)卡不會(huì)發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表,如果不在apr表中的計(jì)算機(jī) ,將不能通信。這個(gè)方法不適用與大多數(shù)移動(dòng)辦公oa環(huán)境,因?yàn)檫@增加了移動(dòng)oa辦公系統(tǒng)的成本。但是對(duì)小規(guī)模的安全移動(dòng)辦公oa來(lái)說(shuō),還是有效和可行的。

按以下順序刪除病毒組件

1) 刪除 ”病毒組件釋放者”

%windows%SYSTEM32LOADHW.EXE

2) 刪除 ”發(fā)ARP欺騙包的驅(qū)動(dòng)程序” (兼 “病毒守護(hù)程序”)

%windows%System32driversnpf.sys

a. 在設(shè)備管理器中, 單擊”查看”-->”顯示隱藏的設(shè)備”

b. 在設(shè)備樹結(jié)構(gòu)中,打開”非即插即用….”

c. 找到” NetGroup Packet Filter Driver” ,若沒(méi)找到,請(qǐng)先刷新設(shè)備列表

d. 右鍵點(diǎn)擊” NetGroup Packet Filter Driver” 菜單,并選擇”卸載”.

e. 重啟windows系統(tǒng),

f. 刪除%windows%System32driversnpf.sys

3) 刪除 ”命令驅(qū)動(dòng)程序發(fā)ARP欺騙包的控制者”

%windows%System32msitinit.dll

4).刪除以下”病毒的假驅(qū)動(dòng)程序”的注冊(cè)表服務(wù)項(xiàng):

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNpf

三、移動(dòng)oa辦公系統(tǒng)維護(hù)技巧之**ARP攻擊源頭和防御方法

1.**ARP攻擊源頭

主動(dòng)**方式:因?yàn)樗械腁RP攻擊源都會(huì)有其特征——網(wǎng)卡會(huì)處于混雜模式,可以通過(guò)ARPKiller這樣的工具掃描網(wǎng)內(nèi)有哪臺(tái)機(jī)器的網(wǎng)卡是處于混雜模式的,從而判斷這臺(tái)機(jī)器有可能就是“元兇”。**好機(jī)器后,再做病毒信息收集,提交給趨勢(shì)科技做分析處理。

標(biāo)注:網(wǎng)卡可以置于一種模式叫混雜模式(promiscuous),在這種模式下工作的網(wǎng)卡能夠收到一切通過(guò)它的數(shù)據(jù),而不管實(shí)際上數(shù)據(jù)的目的地址是不是它。這實(shí)際就是Sniffer工作的基本原理:讓網(wǎng)卡接收一切它所能接收的數(shù)據(jù)。

被動(dòng)**方式:在局域網(wǎng)發(fā)生ARP攻擊時(shí),查看交換機(jī)的動(dòng)態(tài)ARP表中的內(nèi)容,確定攻擊源的MAC地址;也可以在局域居于網(wǎng)中部署Sniffer工具,**ARP攻擊源的MAC。

也可以直接Pin**關(guān)IP,完成Ping后,用ARP –a查看網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址,此MAC地址應(yīng)該為欺騙的MAC。

使用NBTSCAN可以取到PC的真實(shí)IP地址、機(jī)器名和MAC地址,如果有”ARP攻擊”在做怪,可以找到裝有ARP攻擊的PC的IP、機(jī)器名和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整個(gè)192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段,即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址,最后一列是MAC地址。

NBTSCAN的使用范例:

假設(shè)查找一臺(tái)MAC地址為“000d870d585f”的病毒主機(jī)。

1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2)在Windows開始—運(yùn)行—打開,輸入cmd(windows98輸入“command”),在出現(xiàn)的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入),回車。

3)通過(guò)查詢IP--MAC對(duì)應(yīng)表,查出“000d870d585f”的病毒主機(jī)的IP地址為“192.168.16.223”。

通過(guò)上述方法,我們就能夠快速的找到病毒源,確認(rèn)其MAC——〉機(jī)器名和IP地址。

2.防御方法

a.使用可防御ARP攻擊的三層交換機(jī),綁定端口-MAC-IP,限制ARP流量,及時(shí)發(fā)現(xiàn)并自動(dòng)阻斷ARP攻擊端口,合理劃分VLAN,徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊。

b.對(duì)于經(jīng)常爆發(fā)病毒的移動(dòng)辦公oa,進(jìn)行Internet訪問(wèn)控制,限制用戶對(duì)移動(dòng)辦公oa的訪問(wèn)。此類ARP攻擊程序一般都是從Internet下載到用戶終端,如果能夠加強(qiáng)用戶上網(wǎng)的訪問(wèn)控制,就能極大的減少該問(wèn)題的發(fā)生。

c.在發(fā)生ARP攻擊時(shí),及時(shí)找到病毒攻擊源頭,并收集病毒信息,可以使用趨勢(shì)科技的SIC2.0,同時(shí)收集可疑的病毒樣本文件,一起提交到趨勢(shì)科技的TrendLabs進(jìn)行分析,TrendLabs將以最快的速度提供病毒碼文件,從而可以進(jìn)行ARP病毒的防御。

ARP

我們知道,當(dāng)我們?cè)跒g覽器里面輸入網(wǎng)址時(shí),DNS服務(wù)器會(huì)自動(dòng)把它解析為IP地址,瀏覽器實(shí)際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉(zhuǎn)換為第二層物理地址(即MAC地址)的呢?在局域網(wǎng)中,這是通過(guò)ARP協(xié)議來(lái)完成的。ARP協(xié)議對(duì)移動(dòng)辦公oa安全具有重要的意義。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在移動(dòng)辦公oa中產(chǎn)生大量的ARP通信量使移動(dòng)辦公oa阻塞。所以網(wǎng)管們應(yīng)深入理解ARP協(xié)議。

一、什么是ARP協(xié)議

ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在局域網(wǎng)中,移動(dòng)辦公oa中實(shí)際傳輸?shù)氖?ldquo;幀”,幀里面是有目標(biāo)主機(jī)的MAC地址的。在以太網(wǎng)中,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢?它就是通過(guò)地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。

二、ARP協(xié)議的工作原理

在每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表,表里的IP地址與MAC地址是一一對(duì)應(yīng)的,如附表所示。

我們以主機(jī)A(192.168.1.5)向主機(jī)B(192.168.1.1)發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí),主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了,也就知道了目標(biāo)MAC地址,直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址,主機(jī)A就會(huì)在移動(dòng)辦公oa上發(fā)送一個(gè)廣播,目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn):“192.168.1.1的MAC地址是什么?”移動(dòng)辦公oa上其他主機(jī)并不響應(yīng)ARP詢問(wèn),只有主機(jī)B接收到這個(gè)幀時(shí),才向主機(jī)A做出這樣的回應(yīng):“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣,主機(jī)A就知道了主機(jī)B的MAC地址,它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表,下次再向主機(jī)B發(fā)送信息時(shí),直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制,在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用,就會(huì)被刪除,這樣可以大大減少ARP緩存表的長(zhǎng)度,加快查詢速度。

ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在移動(dòng)辦公oa中產(chǎn)生大量的ARP通信量使移動(dòng)辦公oa阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成移動(dòng)辦公oa中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)移動(dòng)辦公oa中,局域網(wǎng)中若有一個(gè)人感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在移動(dòng)辦公oa內(nèi)其它計(jì)算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。

三、移動(dòng)oa辦公系統(tǒng)維護(hù)技巧之如何查看ARP緩存表

ARP緩存表是可以查看的,也可以添加和修改。在命令提示符下,輸入“arp -a”就可以查看ARP緩存表中的內(nèi)容了。

用“arp -d”命令可以刪除ARP表中某一行的內(nèi)容;用“arp -s”可以手動(dòng)在ARP表中指定IP地址與MAC地址的對(duì)應(yīng)。

四、移動(dòng)oa辦公系統(tǒng)維護(hù)技巧之了解ARP欺騙原理

其實(shí),此起彼伏的瞬間掉線或大面積的斷網(wǎng)大都是ARP欺騙在作怪。ARP欺騙攻擊已經(jīng)成了破壞網(wǎng)吧經(jīng)營(yíng)的罪魁禍?zhǔn)?,是網(wǎng)吧老板和網(wǎng)管員的心腹大患。

從影響移動(dòng)辦公oa連接通暢的方式來(lái)看,ARP欺騙分為二種,一種是對(duì)路由器ARP表的欺騙;另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進(jìn)行,使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址,造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān),讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái),就是上不了網(wǎng)了,“移動(dòng)辦公oa掉線了”。

一般來(lái)說(shuō),ARP欺騙攻擊的后果非常嚴(yán)重,大多數(shù)情況下會(huì)造成大面積掉線。有些網(wǎng)管員對(duì)此不甚了解,出現(xiàn)故障時(shí),認(rèn)為PC沒(méi)有問(wèn)題,交換機(jī)沒(méi)掉線的“本事”,電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時(shí),只要重啟路由器,移動(dòng)辦公oa就能全面恢復(fù),那問(wèn)題一定是在路由器了。為此,寬帶路由器背了不少“黑鍋”。

作為網(wǎng)吧路由器的廠家,對(duì)防范ARP欺騙不得已做了不少份內(nèi)、份外的工作。一、在寬帶路由器中把所有PC的IP-MAC輸入到一個(gè)靜態(tài)表中,這叫路由器IP-MAC綁定。二、力勸網(wǎng)管員在內(nèi)網(wǎng)所有PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息,這叫PC機(jī)IP-MAC綁定。一般廠家要求兩個(gè)工作都要做,稱其為IP-MAC雙向綁定。

顯示和修改“地址解析協(xié)議”(ARP) 所使用的到以太網(wǎng)的 IP 或令牌環(huán)物理地址翻譯表。該命令只有在安裝了 TCP/IP 協(xié)議之后才可用。

arp -a [inet_addr] [-N [if_addr]

arp -d inet_addr [if_addr]

arp -s inet_addr ether_addr [if_addr]

參數(shù)

-a

通過(guò)詢問(wèn) TCP/IP 顯示當(dāng)前 ARP 項(xiàng)。如果指定了 inet_addr,則只顯示指定計(jì)算機(jī)的 IP 和物理地址。

-g

與 -a 相同。

inet_addr

以加點(diǎn)的十進(jìn)制標(biāo)記指定 IP 地址。

-N

顯示由 if_addr 指定的移動(dòng)辦公oa界面 ARP 項(xiàng)。

if_addr

指定需要修改其地址轉(zhuǎn)換表接口的 IP 地址(如果有的話)。如果不存在,將使用第一個(gè)可適用的接口。

-d

刪除由 inet_addr 指定的項(xiàng)。

-s

在 ARP 緩存中添加項(xiàng),將 IP 地址 inet_addr 和物理地址 ether_addr 關(guān)聯(lián)。物理地址由以連字符分隔的6 個(gè)十六進(jìn)制字節(jié)給定。使用帶點(diǎn)的十進(jìn)制標(biāo)記指定 IP 地址。項(xiàng)是永久性的,即在超時(shí)到期后項(xiàng)自動(dòng)從緩存刪除。

ether_addr

指定物理地址。

五、遭受ARP攻擊后現(xiàn)象

ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為:使用局域網(wǎng)時(shí)會(huì)突然掉線,過(guò)一段時(shí)間后又會(huì)恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅,用戶頻繁斷網(wǎng),IE瀏覽器頻繁出錯(cuò),以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過(guò)身份認(rèn)證上網(wǎng)的,會(huì)突然出現(xiàn)可認(rèn)證,但不能上網(wǎng)的現(xiàn)象(無(wú)法ping通網(wǎng)關(guān)),重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后,又可恢復(fù)上網(wǎng)。
ARP欺騙木馬只需成功感染一臺(tái)電腦,就可能導(dǎo)致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng),嚴(yán)重的甚至可能帶來(lái)整個(gè)移動(dòng)辦公oa的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外,還會(huì)竊取用戶密碼。如盜取QQ密碼、盜取各種移動(dòng)辦公oa游戲密碼和賬號(hào)去做金錢交易,盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。 

通過(guò)以上了解ARP原理及受到攻擊后的現(xiàn)象后再結(jié)合上面所說(shuō)的移動(dòng)oa辦公系統(tǒng)維護(hù)技巧,ARP病毒就并不可怕了。

相關(guān)閱讀

移動(dòng)oa辦公系統(tǒng)基礎(chǔ)知識(shí):成長(zhǎng)為高級(jí)網(wǎng)管的必備知識(shí)

移動(dòng)oa辦公系統(tǒng)基礎(chǔ)知識(shí):移動(dòng)oa辦公系統(tǒng)員工作如何開始

移動(dòng)oa辦公系統(tǒng)維護(hù)技巧:如何快速完成移動(dòng)辦公oa測(cè)試

移動(dòng)oa辦公系統(tǒng)維護(hù)技巧:如何解決Windows中常見問(wèn)題

移動(dòng)辦公app管理專區(qū)

網(wǎng)管軟件專區(qū)

本文來(lái)自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-18 11:49    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
網(wǎng)上辦公軟件
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普移動(dòng)OA辦公系統(tǒng)其他應(yīng)用

OA辦公軟件系統(tǒng) 高級(jí)辦公軟件 企業(yè)OA辦公系統(tǒng) 網(wǎng)絡(luò)辦公系統(tǒng) 無(wú)紙化辦公系統(tǒng) 自動(dòng)化辦公軟件 手機(jī)OA辦公系統(tǒng) 手機(jī)日程管理軟件 移動(dòng)OA辦公系統(tǒng) 云OA辦公 微信OA系統(tǒng)