ARP防范.doc

饱受ARP攻击和挂马网页自动下载木马之苦的朋友们进来看“木马猛于虎也”，这句话用在现在的网民（包括我这样的老菜鸟）身上真是再贴切不过了，经常发现有程序会自动下载病毒和木马程序，却无可奈何，或者经常遇到ARP攻击也束手无策。不过最近在浏览金山毒霸工作人员铁军的博客时候却有了可喜发现，好东西要分享给大家o(_∩)o…，请大家看下面的内容，有些长，但是绝对有效，看完了别忘了顶帖哦o(_∩)o 下面的内容是在金山毒霸的铁军的blog里面摘抄的，对ARP病毒攻击和Risk.exploit.ani病毒的处理给了很好的解决建议，我转载出来大家参考下：最近用户咨询Risk.exploit.ani病毒的问题比较多，该病毒是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件， 被某些已经挂载木马的网页自动下载。当用户的浏览器打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，这时，毒霸的实时防毒和网页监控会进行报警，由于该文件被IE占用，所以某些情况下毒霸是无法立即删除的。但是毒霸已经专门针对此病毒进行了免疫处理，用户即时没有安装相关漏洞补丁，只要启用毒霸监控，也不会中毒。并且，针对这些文件，毒霸还进行了延迟删除处理，在下次重启系统时，这些被锁定的文件会被自动，下载的畸形ANI文件将不起作用，也就不会通过ANI漏洞去下载真正的病毒木马了。有两种情况，需要注意：1.对于病毒本身而言，清除是简单的，关闭浏览器，然后清空IE临时文件夹，补丁编号MS07-017 KB912919，详细情况见/technet/security/bulletin/ms07-017.mspx ，如果是本机感染病毒，可以根据日志提取样本。2.局域网其他计算机感染病毒进行会话劫持攻击，最近的咨询也比较多，上面的处理方法就无效了。因为病毒本来不一定在当前这台客户机上。某些病毒或者木马利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候都会提示存在该病毒。通俗点说，就是局域网某个计算机感染病毒或者木马，该病毒发送arp欺骗，然后在所有的网页访问的tcp数据中插入一段iframe代码，只要网内的计算机通过网关上网，所有的网页都会跳转到iframe制定的网页，该网页是存在畸形ANI文件，所以毒霸会不断的报警。显示的Risk.exploit.ani只不过是一种表现，就像木马下载器和木马，其原理和功能有天壤之别。对于该类情况，也比较容易判断，如果是局域网用户，一般其他的电脑也存在该问题，而且是访问任意网站都会存在该提示。由于不是本机感染病毒，所有对该计算机进行杀毒，扫描提取样本可能都是无效的。用户需要找到的是发送arp欺骗，从而导致出现该现象的机器，这个需要网管抓包来分析，用户个人是无法完成的。当然无论如何，首要解决的是安装补丁。而对于第二种情况，也就是现在局域网中感染ARP 病毒的情况，由于此种现象目前非常普遍，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。下面就是处理这个病毒的一些参考方法，供大家参考：ARP 病毒的症状：有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP 包爆增，使用Arp 查询的时候会发现不正常的Mac 地址，或者是错误的Mac 地址对应，还有就是一个Mac 地址对应多个IP 的情况也会有出现。ARP 攻击的原理：ARP 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内，或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。处理办法：通用的处理流程：1 .先保证网络正常运行方法一：编辑个***.bat 文件内容如下：arp.exe s**.**.**.**（网关ip） ************（网关mac 地址）end让网络用户点击就可以了!办法二：编辑一个注册表问题，键值如下：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\S