移動oa辦公系統管理維護技巧：ARP病毒的清除

相信很多電腦用戶都有過ARP欺騙木馬的中毒現象，今天就來教大家用移動oa辦公系統維護技巧來清除ARP病毒。

1、ARP攻擊

針對ARP的攻擊主要有兩種，一種是DOS,一種是Spoof。 ARP欺騙往往應用于一個內部移動辦公oa，我們可以用它來擴大一個已經存在的移動辦公oa安全漏洞。如果你可以入侵一個子網內的機器，其它的機器安全也將受到ARP欺騙的威脅。同樣，利用APR的DOS甚至能使整個子網癱瘓。

2、對ARP攻擊的防護

防止ARP攻擊是比較困難的,修改協議也是不大可能。但是有一些工作是可以提高本地移動辦公oa的安全性。首先，你要知道，如果一個錯誤的記錄被插入ARP或者IP route表，可以用兩種方式來刪除。

a. 使用arp –d host_entry

b. 自動過期，由系統刪除

這樣，可以采用以下移動OA辦公系統維護技巧：

移動oa辦公系統維護技巧1. 減少過期時間

#ndd –set /dev/arp arp_cleanup_interval 60000

#ndd -set /dev/ip ip_ire_flush_interval 60000

60000=60000毫秒 默認是300000

加快過期時間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在移動辦公oa中會大量的出現ARP請求和回復，請不要在繁忙的移動辦公oa上使用。

移動oa辦公系統維護技巧２. 建立靜態(tài)ARP表

這是一種很有效的方法，而且對系統影響不大。缺點是破壞了動態(tài)ARP協議。可以建立如下的文件。

test.nsfocus.com 08:00:20:ba:a1:f2

user. nsfocus.com 08:00:20:ee:de:1f

使用arp –f filename加載進去，這樣的ARP映射將不會過期和被新的ARP數據刷新，除非使用arp –d才能刪除。但是一旦合法主機的網卡硬件地址改變，就必須手工刷新這個arp文件。這個方法，不適合于經常變動的移動辦公oa環(huán)境。

移動oa辦公系統維護技巧3．禁止ARP 

可以通過ifconfig interface –arp 完全禁止ARP，這樣，網卡不會發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表，如果不在apr表中的計算機 ，將不能通信。這個方法不適用與大多數移動辦公oa環(huán)境，因為這增加了移動oa辦公系統的成本。但是對小規(guī)模的安全移動辦公oa來說，還是有效和可行的。

按以下順序刪除病毒組件

1) 刪除 ”病毒組件釋放者”

%windows%SYSTEM32LOADHW.EXE

2) 刪除 ”發(fā)ARP欺騙包的驅動程序” (兼 “病毒守護程序”)

%windows%System32driversnpf.sys

a. 在設備管理器中, 單擊”查看”-->”顯示隱藏的設備”

b. 在設備樹結構中,打開”非即插即用….”

c. 找到” NetGroup Packet Filter Driver” ,若沒找到,請先刷新設備列表

d. 右鍵點擊” NetGroup Packet Filter Driver” 菜單,并選擇”卸載”.

e. 重啟windows系統,

f. 刪除%windows%System32driversnpf.sys

3) 刪除 ”命令驅動程序發(fā)ARP欺騙包的控制者”

%windows%System32msitinit.dll

4).刪除以下”病毒的假驅動程序”的注冊表服務項:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNpf

三、移動oa辦公系統維護技巧之**ARP攻擊源頭和防御方法

1．**ARP攻擊源頭

主動**方式：因為所有的ARP攻擊源都會有其特征——網卡會處于混雜模式，可以通過ARPKiller這樣的工具掃描網內有哪臺機器的網卡是處于混雜模式的，從而判斷這臺機器有可能就是“元兇”。**好機器后，再做病毒信息收集，提交給趨勢科技做分析處理。

標注：網卡可以置于一種模式叫混雜模式（promiscuous），在這種模式下工作的網卡能夠收到一切通過它的數據，而不管實際上數據的目的地址是不是它。這實際就是Sniffer工作的基本原理：讓網卡接收一切它所能接收的數據。

被動**方式：在局域網發(fā)生ARP攻擊時，查看交換機的動態(tài)ARP表中的內容，確定攻擊源的MAC地址；也可以在局域居于網中部署Sniffer工具，**ARP攻擊源的MAC。

也可以直接Pin**關IP，完成Ping后，用ARP –a查看網關IP對應的MAC地址，此MAC地址應該為欺騙的MAC。

使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址，如果有”ARP攻擊”在做怪，可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設查找一臺MAC地址為“000d870d585f”的病毒主機。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運行—打開，輸入cmd（windows98輸入“command”），在出現的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據用戶實際網段輸入），回車。

3）通過查詢IP--MAC對應表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

通過上述方法，我們就能夠快速的找到病毒源，確認其MAC——〉機器名和IP地址。

2．防御方法

a.使用可防御ARP攻擊的三層交換機，綁定端口-MAC-IP，限制ARP流量，及時發(fā)現并自動阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

b.對于經常爆發(fā)病毒的移動辦公oa，進行Internet訪問控制，限制用戶對移動辦公oa的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端，如果能夠加強用戶上網的訪問控制，就能極大的減少該問題的發(fā)生。

c.在發(fā)生ARP攻擊時，及時找到病毒攻擊源頭，并收集病毒信息，可以使用趨勢科技的SIC2.0，同時收集可疑的病毒樣本文件，一起提交到趨勢科技的TrendLabs進行分析，TrendLabs將以最快的速度提供病毒碼文件，從而可以進行ARP病毒的防御。

ARP

我們知道，當我們在瀏覽器里面輸入網址時，DNS服務器會自動把它解析為IP地址，瀏覽器實際上查找的是IP地址而不是網址。那么IP地址是如何轉換為第二層物理地址（即MAC地址）的呢？在局域網中，這是通過ARP協議來完成的。ARP協議對移動辦公oa安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在移動辦公oa中產生大量的ARP通信量使移動辦公oa阻塞。所以網管們應深入理解ARP協議。

一、什么是ARP協議

ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。在局域網中，移動辦公oa中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

二、ARP協議的工作原理

在每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，如附表所示。

我們以主機A（192.168.1.5）向主機B（192.168.1.1）發(fā)送數據為例。當發(fā)送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在移動辦公oa上發(fā)送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網段內的所有主機發(fā)出這樣的詢問：“192.168.1.1的MAC地址是什么？”移動辦公oa上其他主機并不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在移動辦公oa中產生大量的ARP通信量使移動辦公oa阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成移動辦公oa中斷或中間人攻擊。

ARP攻擊主要是存在于局域網移動辦公oa中，局域網中若有一個人感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在移動辦公oa內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。

三、移動oa辦公系統維護技巧之如何查看ARP緩存表

ARP緩存表是可以查看的，也可以添加和修改。在命令提示符下，輸入“arp -a”就可以查看ARP緩存表中的內容了。

用“arp -d”命令可以刪除ARP表中某一行的內容；用“arp -s”可以手動在ARP表中指定IP地址與MAC地址的對應。

四、移動oa辦公系統維護技巧之了解ARP欺騙原理

其實，此起彼伏的瞬間掉線或大面積的斷網大都是ARP欺騙在作怪。ARP欺騙攻擊已經成了破壞網吧經營的罪魁禍首，是網吧老板和網管員的心腹大患。

從影響移動辦公oa連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。

第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發(fā)數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“移動辦公oa掉線了”。

一般來說，ARP欺騙攻擊的后果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚了解，出現故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，移動辦公oa就能全面恢復，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。

作為網吧路由器的廠家，對防范ARP欺騙不得已做了不少份內、份外的工作。一、在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態(tài)表中，這叫路由器IP-MAC綁定。二、力勸網管員在內網所有PC上設置網關的靜態(tài)ARP信息，這叫PC機IP-MAC綁定。一般廠家要求兩個工作都要做，稱其為IP-MAC雙向綁定。

顯示和修改“地址解析協議”(ARP) 所使用的到以太網的 IP 或令牌環(huán)物理地址翻譯表。該命令只有在安裝了 TCP/IP 協議之后才可用。

arp -a [inet_addr] [-N [if_addr]

arp -d inet_addr [if_addr]

arp -s inet_addr ether_addr [if_addr]

參數

-a

通過詢問 TCP/IP 顯示當前 ARP 項。如果指定了 inet_addr，則只顯示指定計算機的 IP 和物理地址。

-g

與 -a 相同。

inet_addr

以加點的十進制標記指定 IP 地址。

-N

顯示由 if_addr 指定的移動辦公oa界面 ARP 項。

if_addr

指定需要修改其地址轉換表接口的 IP 地址（如果有的話）。如果不存在，將使用第一個可適用的接口。

-d

刪除由 inet_addr 指定的項。

-s

在 ARP 緩存中添加項，將 IP 地址 inet_addr 和物理地址 ether_addr 關聯。物理地址由以連字符分隔的6 個十六進制字節(jié)給定。使用帶點的十進制標記指定 IP 地址。項是永久性的，即在超時到期后項自動從緩存刪除。

ether_addr

指定物理地址。

五、遭受ARP攻擊后現象

ARP欺騙木馬的中毒現象表現為：使用局域網時會突然掉線，過一段時間后又會恢復正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟件出現故障等。如果局域網中是通過身份認證上網的，會突然出現可認證，但不能上網的現象（無法ping通網關），重啟機器或在MS-DOS窗口下運行命令arp -d后，又可恢復上網。
ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個移動辦公oa的癱瘓。該木馬發(fā)作時除了會導致同一局域網內的其他用戶上網出現時斷時續(xù)的現象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種移動辦公oa游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。 

通過以上了解ＡＲＰ原理及受到攻擊后的現象后再結合上面所說的移動oa辦公系統維護技巧，ＡＲＰ病毒就并不可怕了。

【相關閱讀】

◆ 移動oa辦公系統基礎知識：成長為高級網管的必備知識

◆移動oa辦公系統基礎知識:移動oa辦公系統員工作如何開始

◆移動oa辦公系統維護技巧：如何快速完成移動辦公oa測試

◆移動oa辦公系統維護技巧：如何解決Windows中常見問題

◆移動辦公app管理專區(qū)

◆網管軟件專區(qū)