130 likes | 397 Views
Anti-ARP 2.6 解决方案 - 使用指南 Peter Zang, CRTL AVR 2008.07. 概况. 由于 ARP 协议本身的缺陷,在发送和接受时都并不进行确认,所以被病毒利用进行欺骗。 目前 ARP 病毒防护难 目前 ARP 病毒定位难 ARP 病毒通常伴有内网 HTTP 挂马现象 , 很快辐射到全网. 客户需求. 在客户网络遭受 ARP 欺骗攻击时 , 仍然能维持正常的业务通信 . 保证客户机与网关之间的通信 保证客户机与客户机之间的通信 定位 ARP 欺骗源头. 本工具功能. 免疫功能
E N D
Anti-ARP 2.6 解决方案-使用指南Peter Zang, CRTL AVR 2008.07
概况 • 由于ARP协议本身的缺陷,在发送和接受时都并不进行确认,所以被病毒利用进行欺骗。 • 目前ARP病毒防护难 • 目前ARP病毒定位难 • ARP病毒通常伴有内网HTTP挂马现象,很快辐射到全网 Anti-ARP Project
客户需求 • 在客户网络遭受ARP欺骗攻击时,仍然能维持正常的业务通信. • 保证客户机与网关之间的通信 • 保证客户机与客户机之间的通信 • 定位ARP欺骗源头 Anti-ARP Project
本工具功能 免疫功能 • 对于未感染ARP病毒的局域网,防止ARP病毒突然爆发带来的大面积无法访问网络资源等危害。 治疗功能 • 对于怀疑感染或已经感染ARP病毒的局域网,防止虚假ARP包造成的网络瘫痪,一般染毒网络中会伴有通过ARP挂马在恶意站点下载大量病毒文件等现象。此方案也可作为辅助解决此类病毒现象反复出现的工具。 Anti-ARP Project
特点 • 支持Windows 2000、Windows XP、Windows Server 2003平台; • 通过中间层驱动对ARP响应包的过滤有效阻止ARP欺骗行为; • 可以通过OSCE、CSM/CSS服务器端全网部署及解除部署; • 安装卸载皆无需重启计算机; • 安装后即可自动启动,无需额外操作; • 驱动文件自我保护功能,防止被误删除或被恶意文件删除; • 扫描到ARP欺骗数据包时会自动记录至OSCE、CSM/CSS日志中并上传至服务器端,便于管理; • 不影响网络使用及网速,不会造成网络拥堵。 Anti-ARP Project
APR病毒包检测日志 • 当检测到伪造的ARP响应包后,工具会将进行记录,日志将记录在如下位置: C:\Program Files\Trend Micro\OfficeScan Client\Misc\ pccnt35.log (即OSCE的病毒日志) • 格式如下: [日期]<;>[时间]<;>RTL_AntiARP.Pkt<;>1<;>1<;>0<;>ARP Defense Solution: suspicious ARP spoofing packets detected. Blocked packets #: [拦截数据包数量]<;> 例: 20080407<;>1200<;>RTL_AntiARP.Pkt<;>1<;>1<;>0<;>ARP Defense Solution: suspicious ARP spoofing packets detected. Blocked packets #: 16 <;> Anti-ARP Project
组件信息 • 本解决方案包含以下组件 Install文件夹下 • antiarp.exe:Installer • tsc.exe:tsc工具 • tsc.ptn:安装部署用特殊版tsc pattern Uninstall文件夹下 • antiarp.exe:Installer • tsc.exe:tsc工具 • tsc.ptn:卸载部署用特殊版tsc pattern Anti-ARP Project
安装部署方案 • 通过服务器端部署专用的特殊版TSC进行全网安装 *详情可参考部署方案 • 单机可直接运行特殊版TSC进行安装 *详情可参考部署方案 Anti-ARP Project
卸载部署方案 通过服务器端部署专用的特殊版TSC进行全网卸载 *详情可参考部署方案 单机可直接运行特殊版TSC进行卸载 *详情可参考部署方案 Anti-ARP Project
部署注意点 • 在安装时会中断越10秒的网络连接后重新启用。故请勿在业务繁忙的工作时间进行部署。 • 该工具会与360安全卫士的antiarp工具发生冲突,故在部署前请先卸载360的antiarp工具。若未卸载在安装时会提示进行卸载。 Anti-ARP Project
如何确认安装成功? • 服务安装成功 • 驱动安装成功 Anti-ARP Project
如何确认功能性? • 可以通过一个利用ARP欺骗切断网络中某一台计算机的工具:Netcut(网络剪刀手) http://download.pchome.net/internet/tools/detail-13526.html • 在安装了AntiARP工具的计算机上使用netcut将失效,无法切断其他计算机的通信。 *详情可参考部署文档 Anti-ARP Project
Q&A Anti-ARP Project