1 / 13

Anti-ARP 2.6 解决方案 - 使用指南 Peter Zang, CRTL AVR 2008.07

Anti-ARP 2.6 解决方案 - 使用指南 Peter Zang, CRTL AVR 2008.07. 概况. 由于 ARP 协议本身的缺陷,在发送和接受时都并不进行确认,所以被病毒利用进行欺骗。 目前 ARP 病毒防护难 目前 ARP 病毒定位难 ARP 病毒通常伴有内网 HTTP 挂马现象 , 很快辐射到全网. 客户需求. 在客户网络遭受 ARP 欺骗攻击时 , 仍然能维持正常的业务通信 . 保证客户机与网关之间的通信 保证客户机与客户机之间的通信 定位 ARP 欺骗源头. 本工具功能. 免疫功能

roch
Download Presentation

Anti-ARP 2.6 解决方案 - 使用指南 Peter Zang, CRTL AVR 2008.07

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Anti-ARP 2.6 解决方案-使用指南Peter Zang, CRTL AVR 2008.07

  2. 概况 • 由于ARP协议本身的缺陷,在发送和接受时都并不进行确认,所以被病毒利用进行欺骗。 • 目前ARP病毒防护难 • 目前ARP病毒定位难 • ARP病毒通常伴有内网HTTP挂马现象,很快辐射到全网 Anti-ARP Project

  3. 客户需求 • 在客户网络遭受ARP欺骗攻击时,仍然能维持正常的业务通信. • 保证客户机与网关之间的通信 • 保证客户机与客户机之间的通信 • 定位ARP欺骗源头 Anti-ARP Project

  4. 本工具功能 免疫功能 • 对于未感染ARP病毒的局域网,防止ARP病毒突然爆发带来的大面积无法访问网络资源等危害。 治疗功能 • 对于怀疑感染或已经感染ARP病毒的局域网,防止虚假ARP包造成的网络瘫痪,一般染毒网络中会伴有通过ARP挂马在恶意站点下载大量病毒文件等现象。此方案也可作为辅助解决此类病毒现象反复出现的工具。 Anti-ARP Project

  5. 特点 • 支持Windows 2000、Windows XP、Windows Server 2003平台; • 通过中间层驱动对ARP响应包的过滤有效阻止ARP欺骗行为; • 可以通过OSCE、CSM/CSS服务器端全网部署及解除部署; • 安装卸载皆无需重启计算机; • 安装后即可自动启动,无需额外操作; • 驱动文件自我保护功能,防止被误删除或被恶意文件删除; • 扫描到ARP欺骗数据包时会自动记录至OSCE、CSM/CSS日志中并上传至服务器端,便于管理; • 不影响网络使用及网速,不会造成网络拥堵。 Anti-ARP Project

  6. APR病毒包检测日志 • 当检测到伪造的ARP响应包后,工具会将进行记录,日志将记录在如下位置: C:\Program Files\Trend Micro\OfficeScan Client\Misc\ pccnt35.log (即OSCE的病毒日志) • 格式如下: [日期]<;>[时间]<;>RTL_AntiARP.Pkt<;>1<;>1<;>0<;>ARP Defense Solution: suspicious ARP spoofing packets detected. Blocked packets #: [拦截数据包数量]<;> 例: 20080407<;>1200<;>RTL_AntiARP.Pkt<;>1<;>1<;>0<;>ARP Defense Solution: suspicious ARP spoofing packets detected. Blocked packets #: 16 <;> Anti-ARP Project

  7. 组件信息 • 本解决方案包含以下组件 Install文件夹下 • antiarp.exe:Installer • tsc.exe:tsc工具 • tsc.ptn:安装部署用特殊版tsc pattern Uninstall文件夹下 • antiarp.exe:Installer • tsc.exe:tsc工具 • tsc.ptn:卸载部署用特殊版tsc pattern Anti-ARP Project

  8. 安装部署方案 • 通过服务器端部署专用的特殊版TSC进行全网安装 *详情可参考部署方案 • 单机可直接运行特殊版TSC进行安装 *详情可参考部署方案 Anti-ARP Project

  9. 卸载部署方案 通过服务器端部署专用的特殊版TSC进行全网卸载 *详情可参考部署方案 单机可直接运行特殊版TSC进行卸载 *详情可参考部署方案 Anti-ARP Project

  10. 部署注意点 • 在安装时会中断越10秒的网络连接后重新启用。故请勿在业务繁忙的工作时间进行部署。 • 该工具会与360安全卫士的antiarp工具发生冲突,故在部署前请先卸载360的antiarp工具。若未卸载在安装时会提示进行卸载。 Anti-ARP Project

  11. 如何确认安装成功? • 服务安装成功 • 驱动安装成功 Anti-ARP Project

  12. 如何确认功能性? • 可以通过一个利用ARP欺骗切断网络中某一台计算机的工具:Netcut(网络剪刀手) http://download.pchome.net/internet/tools/detail-13526.html • 在安装了AntiARP工具的计算机上使用netcut将失效,无法切断其他计算机的通信。 *详情可参考部署文档 Anti-ARP Project

  13. Q&A Anti-ARP Project

More Related