移動oa辦公系統(tǒng)管理維護技巧：ARP病毒的清除

相信很多電腦用戶都有過ARP欺騙木馬的中毒現(xiàn)象，今天就來教大家用移動oa辦公系統(tǒng)維護技巧來清除ARP病毒。

1、ARP攻擊

針對ARP的攻擊主要有兩種，一種是DOS,一種是Spoof。 ARP欺騙往往應(yīng)用于一個內(nèi)部移動辦公oa，我們可以用它來擴大一個已經(jīng)存在的移動辦公oa安全漏洞。如果你可以入侵一個子網(wǎng)內(nèi)的機器，其它的機器安全也將受到ARP欺騙的威脅。同樣，利用APR的DOS甚至能使整個子網(wǎng)癱瘓。

2、對ARP攻擊的防護

防止ARP攻擊是比較困難的,修改協(xié)議也是不大可能。但是有一些工作是可以提高本地移動辦公oa的安全性。首先，你要知道，如果一個錯誤的記錄被插入ARP或者IP route表，可以用兩種方式來刪除。

a. 使用arp –d host_entry

b. 自動過期，由系統(tǒng)刪除

這樣，可以采用以下移動OA辦公系統(tǒng)維護技巧：

移動oa辦公系統(tǒng)維護技巧1. 減少過期時間

#ndd –set /dev/arp arp_cleanup_interval 60000

#ndd -set /dev/ip ip_ire_flush_interval 60000

60000=60000毫秒 默認是300000

加快過期時間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在移動辦公oa中會大量的出現(xiàn)ARP請求和回復(fù)，請不要在繁忙的移動辦公oa上使用。

移動oa辦公系統(tǒng)維護技巧２. 建立靜態(tài)ARP表

這是一種很有效的方法，而且對系統(tǒng)影響不大。缺點是破壞了動態(tài)ARP協(xié)議?？梢越⑷缦碌奈募?。

test.nsfocus.com 08:00:20:ba:a1:f2

user. nsfocus.com 08:00:20:ee:de:1f

使用arp –f filename加載進去，這樣的ARP映射將不會過期和被新的ARP數(shù)據(jù)刷新，除非使用arp –d才能刪除。但是一旦合法主機的網(wǎng)卡硬件地址改變，就必須手工刷新這個arp文件。這個方法，不適合于經(jīng)常變動的移動辦公oa環(huán)境。

移動oa辦公系統(tǒng)維護技巧3．禁止ARP 

可以通過ifconfig interface –arp 完全禁止ARP，這樣，網(wǎng)卡不會發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表，如果不在apr表中的計算機 ，將不能通信。這個方法不適用與大多數(shù)移動辦公oa環(huán)境，因為這增加了移動oa辦公系統(tǒng)的成本。但是對小規(guī)模的安全移動辦公oa來說，還是有效和可行的。

按以下順序刪除病毒組件

1) 刪除 ”病毒組件釋放者”

%windows%SYSTEM32LOADHW.EXE

2) 刪除 ”發(fā)ARP欺騙包的驅(qū)動程序” (兼 “病毒守護程序”)

%windows%System32driversnpf.sys

a. 在設(shè)備管理器中, 單擊”查看”-->”顯示隱藏的設(shè)備”

b. 在設(shè)備樹結(jié)構(gòu)中,打開”非即插即用….”

c. 找到” NetGroup Packet Filter Driver” ,若沒找到,請先刷新設(shè)備列表

d. 右鍵點擊” NetGroup Packet Filter Driver” 菜單,并選擇”卸載”.

e. 重啟windows系統(tǒng),

f. 刪除%windows%System32driversnpf.sys

3) 刪除 ”命令驅(qū)動程序發(fā)ARP欺騙包的控制者”

%windows%System32msitinit.dll

4).刪除以下”病毒的假驅(qū)動程序”的注冊表服務(wù)項:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNpf

三、移動oa辦公系統(tǒng)維護技巧之**ARP攻擊源頭和防御方法

1．**ARP攻擊源頭

主動**方式：因為所有的ARP攻擊源都會有其特征——網(wǎng)卡會處于混雜模式，可以通過ARPKiller這樣的工具掃描網(wǎng)內(nèi)有哪臺機器的網(wǎng)卡是處于混雜模式的，從而判斷這臺機器有可能就是“元兇”。**好機器后，再做病毒信息收集，提交給趨勢科技做分析處理。

標注：網(wǎng)卡可以置于一種模式叫混雜模式（promiscuous），在這種模式下工作的網(wǎng)卡能夠收到一切通過它的數(shù)據(jù)，而不管實際上數(shù)據(jù)的目的地址是不是它。這實際就是Sniffer工作的基本原理：讓網(wǎng)卡接收一切它所能接收的數(shù)據(jù)。

被動**方式：在局域網(wǎng)發(fā)生ARP攻擊時，查看交換機的動態(tài)ARP表中的內(nèi)容，確定攻擊源的MAC地址；也可以在局域居于網(wǎng)中部署Sniffer工具，**ARP攻擊源的MAC。

也可以直接Pin**關(guān)IP，完成Ping后，用ARP –a查看網(wǎng)關(guān)IP對應(yīng)的MAC地址，此MAC地址應(yīng)該為欺騙的MAC。

使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址，如果有”ARP攻擊”在做怪，可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整個192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設(shè)查找一臺MAC地址為“000d870d585f”的病毒主機。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運行—打開，輸入cmd（windows98輸入“command”），在出現(xiàn)的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據(jù)用戶實際網(wǎng)段輸入），回車。

3）通過查詢IP--MAC對應(yīng)表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

通過上述方法，我們就能夠快速的找到病毒源，確認其MAC——〉機器名和IP地址。

2．防御方法

a.使用可防御ARP攻擊的三層交換機，綁定端口-MAC-IP，限制ARP流量，及時發(fā)現(xiàn)并自動阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

b.對于經(jīng)常爆發(fā)病毒的移動辦公oa，進行Internet訪問控制，限制用戶對移動辦公oa的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端，如果能夠加強用戶上網(wǎng)的訪問控制，就能極大的減少該問題的發(fā)生。

c.在發(fā)生ARP攻擊時，及時找到病毒攻擊源頭，并收集病毒信息，可以使用趨勢科技的SIC2.0，同時收集可疑的病毒樣本文件，一起提交到趨勢科技的TrendLabs進行分析，TrendLabs將以最快的速度提供病毒碼文件，從而可以進行ARP病毒的防御。

ARP

我們知道，當我們在瀏覽器里面輸入網(wǎng)址時，DNS服務(wù)器會自動把它解析為IP地址，瀏覽器實際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉(zhuǎn)換為第二層物理地址（即MAC地址）的呢？在局域網(wǎng)中，這是通過ARP協(xié)議來完成的。ARP協(xié)議對移動辦公oa安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在移動辦公oa中產(chǎn)生大量的ARP通信量使移動辦公oa阻塞。所以網(wǎng)管們應(yīng)深入理解ARP協(xié)議。

一、什么是ARP協(xié)議

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，移動辦公oa中實際傳輸?shù)氖?ldquo;幀”，幀里面是有目標主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。

二、ARP協(xié)議的工作原理

在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如附表所示。

我們以主機A（192.168.1.5）向主機B（192.168.1.1）發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機A就會在移動辦公oa上發(fā)送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“192.168.1.1的MAC地址是什么？”移動辦公oa上其他主機并不響應(yīng)ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內(nèi)如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在移動辦公oa中產(chǎn)生大量的ARP通信量使移動辦公oa阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標主機ARP緩存中的IP-MAC條目，造成移動辦公oa中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)移動辦公oa中，局域網(wǎng)中若有一個人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在移動辦公oa內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。

三、移動oa辦公系統(tǒng)維護技巧之如何查看ARP緩存表

ARP緩存表是可以查看的，也可以添加和修改。在命令提示符下，輸入“arp -a”就可以查看ARP緩存表中的內(nèi)容了。

用“arp -d”命令可以刪除ARP表中某一行的內(nèi)容；用“arp -s”可以手動在ARP表中指定IP地址與MAC地址的對應(yīng)。

四、移動oa辦公系統(tǒng)維護技巧之了解ARP欺騙原理

其實，此起彼伏的瞬間掉線或大面積的斷網(wǎng)大都是ARP欺騙在作怪。ARP欺騙攻擊已經(jīng)成了破壞網(wǎng)吧經(jīng)營的罪魁禍首，是網(wǎng)吧老板和網(wǎng)管員的心腹大患。

從影響移動辦公oa連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“移動辦公oa掉線了”。

一般來說，ARP欺騙攻擊的后果非常嚴重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解，出現(xiàn)故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，移動辦公oa就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。

作為網(wǎng)吧路由器的廠家，對防范ARP欺騙不得已做了不少份內(nèi)、份外的工作。一、在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態(tài)表中，這叫路由器IP-MAC綁定。二、力勸網(wǎng)管員在內(nèi)網(wǎng)所有PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC機IP-MAC綁定。一般廠家要求兩個工作都要做，稱其為IP-MAC雙向綁定。

顯示和修改“地址解析協(xié)議”(ARP) 所使用的到以太網(wǎng)的 IP 或令牌環(huán)物理地址翻譯表。該命令只有在安裝了 TCP/IP 協(xié)議之后才可用。

arp -a [inet_addr] [-N [if_addr]

arp -d inet_addr [if_addr]

arp -s inet_addr ether_addr [if_addr]

參數(shù)

-a

通過詢問 TCP/IP 顯示當前 ARP 項。如果指定了 inet_addr，則只顯示指定計算機的 IP 和物理地址。

-g

與 -a 相同。

inet_addr

以加點的十進制標記指定 IP 地址。

-N

顯示由 if_addr 指定的移動辦公oa界面 ARP 項。

if_addr

指定需要修改其地址轉(zhuǎn)換表接口的 IP 地址（如果有的話）。如果不存在，將使用第一個可適用的接口。

-d

刪除由 inet_addr 指定的項。

-s

在 ARP 緩存中添加項，將 IP 地址 inet_addr 和物理地址 ether_addr 關(guān)聯(lián)。物理地址由以連字符分隔的6 個十六進制字節(jié)給定。使用帶點的十進制標記指定 IP 地址。項是永久性的，即在超時到期后項自動從緩存刪除。

ether_addr

指定物理地址。

五、遭受ARP攻擊后現(xiàn)象

ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時會突然掉線，過一段時間后又會恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認證上網(wǎng)的，會突然出現(xiàn)可認證，但不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關(guān)），重啟機器或在MS-DOS窗口下運行命令arp -d后，又可恢復(fù)上網(wǎng)。
ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網(wǎng)都無法上網(wǎng)，嚴重的甚至可能帶來整個移動辦公oa的癱瘓。該木馬發(fā)作時除了會導致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種移動辦公oa游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟損失。 

通過以上了解ＡＲＰ原理及受到攻擊后的現(xiàn)象后再結(jié)合上面所說的移動oa辦公系統(tǒng)維護技巧，ＡＲＰ病毒就并不可怕了。

【相關(guān)閱讀】

◆ 移動oa辦公系統(tǒng)基礎(chǔ)知識：成長為高級網(wǎng)管的必備知識

◆移動oa辦公系統(tǒng)基礎(chǔ)知識:移動oa辦公系統(tǒng)員工作如何開始

◆移動oa辦公系統(tǒng)維護技巧：如何快速完成移動辦公oa測試

◆移動oa辦公系統(tǒng)維護技巧：如何解決Windows中常見問題

◆移動辦公app管理專區(qū)

◆網(wǎng)管軟件專區(qū)