終端安全解決方案.doc

終端安全解決方案第一部分、終端問題的處理方法一、首先需要查到攻擊源：1、物理查看方法，查看網(wǎng)卡顯示燈。沒有運行應用的機器，網(wǎng)卡的收發(fā)兩個燈或發(fā)送燈在不停的閃爍，可判定這臺終端有問題；2、終端查看連接狀態(tài)的方法，查看終端開放的端口，協(xié)議等。在DOS命令狀態(tài)下輸入netstat -an 查看連接狀態(tài)，查看是否有異常端口開放，是否有異常的連接等，通過arp -a查看arp表，主要看網(wǎng)關和已經(jīng)終端的MAC地址學習是否正確，用arp -d 刪除錯誤IP對應的MAC地址，net share 查看一下共享信息，無用文件共享關閉。netstat -rn查看終端的路由信息是否正常，而ipconfig /all 看一下網(wǎng)卡啟用狀態(tài)，一般需要將無用的和虛擬的網(wǎng)卡禁用。查看網(wǎng)絡連接，即“本地連接”或其他名稱的網(wǎng)絡連接，無用連接需要禁用。有用連接中的相關無用服務關閉掉，尤其是“QOS數(shù)據(jù)包計劃”經(jīng)常導致系統(tǒng)出現(xiàn)問題。在測試時可僅保留“mircosofe 客戶端”和“internet 協(xié)議（TCP/IP）這兩個協(xié)議，其他的測試時可保留終端防火墻和終端抓包的兩類協(xié)議，但一定要確認是本地軟件安裝的協(xié)議，必要時可卸載然后重新用干凈軟件安裝一下；3、采用sniffer或ethtool這樣的抓包工具查看攻擊，一般發(fā)包比較多的為攻擊源。sniffer你直接看流量的圖，哪個終端與服務器的直連線最高說明發(fā)起的攻擊最多。而ethtool一般直接查看arp協(xié)議，點協(xié)議排序就可以，一般有問題的機器不停的問我是誰這樣相關的信息；4、查看終端補丁安裝情況，一般需要確認相關操作系統(tǒng)安全補丁均已經(jīng)正常安裝，并查一下相關主要的應用軟件是否也需要進行補丁安裝或程序的版本升級，一般升到最新的穩(wěn)定安裝版本，不要升級測試版本；5、采用任務管理器和安全衛(wèi)士360等工具查看服務器和終端當前應用程序的運行情況，無用的相關應用程序進行關閉，同時查看IE的相關設置是否有問題，建議刪除無用的第三方IE插件；二、確定問題后進行查殺： 1、物理上方法一般采用2層交換機端口進行綁定的方式進行終端的IP和MAC確定；2、將二層交換機向三層交換機進行匯聚連接，并在三層交換機上進行終端IP和MAC綁定。在初始的情況下，如果哪個終端的MAC地址迅速網(wǎng)關或替換其他IP的MAC，則此終端存在問題，一般將其MAC綁定為全零，然后進行arp表的清除； 3、一般可采用安全衛(wèi)士360等終端查殺和系統(tǒng)恢復軟件進行臨時文件刪除，服務的關閉和IE的清理等，或采用兵刃或紅葉等安全套件進行清理，但兵刃和紅葉中多是黑客的攻擊軟件需要保持其自身的安全性，防止前面驅(qū)虎，后面引狼；4、終端軟件重新安裝也是比較快捷的方式，但是要注意簡版的操作系統(tǒng)和低版本的應用軟件均在先天就存在致命的漏洞。建議選擇正版或全版和新整合的操作系統(tǒng)，在補丁安裝完成前不要接入到網(wǎng)絡中，并且注意安裝軟件自身的安全，應用軟件可以逐步進行安裝，但安裝一個要確保其補丁升級完成。這個工作在前期準備需要相當長的時間，但是這個是保證終端可用性的前提，一定要重視。三、系統(tǒng)運行保護：1、終端一般安裝安全衛(wèi)士360或?qū)Ｓ胊rp防護軟件的arp防護工具并啟用，其原理一般是核查終端的arp表，定期進行刷新并禁止arp表的修訂，終端病毒防護軟件的安裝和定期升級也是必要的前提； 2、操作系統(tǒng)補丁和應用軟件定期安裝； 3、終端IP和MAC統(tǒng)計和更新，并及時在二層交換機進行端口綁定，三層交換機上IP和MAC的綁定及定期的查看； 4、也可采用終端準入的系統(tǒng)來控制終端必要系統(tǒng)補丁和應用程序的統(tǒng)一升級；當然如果是惡意的攻擊和破壞也是違反信息安全的法律和法規(guī)的，在進行一定攻擊的情況的記錄和資料準備可以申請電信級運營商協(xié)助進行問題定位，向通信管理局和公安機關等政府相關信息安全機構(gòu)進行報案，他們可進行更大范圍的監(jiān)控和安全事件查證。第二部分 終端病毒防護方法一、終端中毒前的防護1、在終端重新做系統(tǒng)接入網(wǎng)絡之前一定要把操作系統(tǒng)的補丁打好木馬病毒多數(shù)是通過系統(tǒng)漏洞入侵終端的，所以重新裝完操作系統(tǒng)的終端，打補丁是重要的環(huán)節(jié)。要做到每一臺終端的補丁都打全之后再接入網(wǎng)絡，如果等到終端中毒之后再打補丁就來不及了。2、新接入網(wǎng)絡的終端一定做到每一臺終端都要裝趨勢防病毒軟件。一臺都不能漏掉。如果漏掉了一臺，就相當于操作系統(tǒng)的一個漏洞一樣，因為趨勢防病毒軟件注重的是防御，將病毒拒之門外。所以每一臺終端都要裝趨勢殺毒軟件也是很重要的一個環(huán)節(jié)。3、前兩點都做到的情況下，每一個終端的操作者要有良好的使用習慣。不瀏覽不良網(wǎng)站，不要去點擊一些廣告等欺騙性的頁面。下載的時候要去正規(guī)的網(wǎng)站下載，使用的軟件盡量用正版的。安裝軟件的時候盡量不要安裝在C盤。很多軟件也會有漏洞，木馬病毒會通過軟件漏洞入侵操作系統(tǒng)從而導致終端中毒。在安裝軟件的過程中，軟件本身會捆綁一些其它工具，如果安裝的軟件不是在正規(guī)網(wǎng)站下載的，那么很有可能捆綁的東西里會帶有一些病毒木馬等危害終端?；蛘邜阂獯鄹腎E瀏覽器主頁。所以安裝軟件的時候要注意一下軟件捆綁的東西，不要一直下一步點到底。4、移動介質(zhì)在使用的過程當中要做好檢查防止病毒蔓延移動介質(zhì)，例如:優(yōu)盤、軟盤、光盤、移動硬盤等移動設備，在使用的過程中要做好備份、檢查工作，防止病毒擴散。5、要把不需要的系統(tǒng)共享關閉，還有Windows自動播放關閉。二、終端中毒后的處理1、當前終端中病毒的途徑有以下幾種：（1）、網(wǎng)頁掛馬：網(wǎng)頁病毒主要是利用軟件或系統(tǒng)操作平臺等的安全漏洞，通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標記語言內(nèi)的Java Applet小應用程序，JavaScript腳本語言程序，ActiveX軟件部件網(wǎng)絡交互技術支持可自動執(zhí)行的代碼程序，以強行修改用戶操作系統(tǒng)的注冊表設置及系統(tǒng)實用配置程序，或非法控制系統(tǒng)用戶文件，或惡意刪除硬盤文件、格式化硬盤為行為目標的非法惡意程序。這種非法惡意程序能夠得以被自動執(zhí)行，在于它完全不受用戶的控制。一旦瀏覽含有該病毒的網(wǎng)頁，在用戶不知不覺的情況下，給用戶的系統(tǒng)帶來一般性的、輕度性的、惡性等不同程度的破壞。網(wǎng)頁病毒的激發(fā)條件是瀏覽網(wǎng)頁，網(wǎng)頁的瀏覽量直接影響病毒傳播的速度， 網(wǎng)頁的瀏覽量宏觀上是隨著時間的增加而增加的。（2）、移動介質(zhì)：u盤媒介 一般是u盤插入一臺已感染的電腦上，而感染的電腦上的u盤病毒趁機植入u盤，而用戶再插入其他的電腦，其他的電腦就中毒了；.硬盤媒介 通過硬盤傳染也是重要的渠道, 由于帶有病毒機器移到其它地方使用、維修等, 將干凈的軟盤傳染并再擴散；光盤媒介：因為光盤容量大，存儲了海量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔負專門責任，也決不會有真正可靠可行的技術保障避免病毒的傳入、傳染、流行和擴散。當前，盜版光盤的泛濫給病毒的傳播帶來了很大的便利。（3）、共享：局域網(wǎng)是由相互連接的一組計算機組成的，這是數(shù)據(jù)共享和相互協(xié)作的需要。組成網(wǎng)絡的每一臺計算機都能連接到其他計算機，數(shù)據(jù)也能從一臺計算機發(fā)送到其他計算機上。如果發(fā)送的數(shù)據(jù)感染了計算機病毒，接收方的計算機將自動被感染，因此，有可能在很短的時間內(nèi)感染整個網(wǎng)絡中的計算機。局域網(wǎng)絡技術的應用為企業(yè)的發(fā)展做出巨大貢獻，同時也為計算機病毒的迅速傳播鋪平了道路。同時，由于系統(tǒng)漏洞所產(chǎn)生的安全隱患也會使病毒在局域網(wǎng)中傳播（4）、郵件:病毒制作者將病毒放在電子郵件的附件中寄給受害者，引誘受害者打開電子郵件附件而傳染病毒,或?qū)⒉《局苯臃旁陔娮余]件內(nèi)寄給受害者，誘使受害者閱讀電子郵件而傳染病毒。（5）、漏洞型病毒: 因此即使你沒有運行非法軟件沒有打開郵件瀏覽只要你連接到網(wǎng)絡中,漏洞型病毒就會利用操作系統(tǒng)的漏洞進入你的計算機 如沖擊波和震蕩波。（6）、間諜軟件：是一種惡意程序，能夠附著（捆綁）在軟件安裝包、共享文件、可執(zhí)行圖像以及各種可執(zhí)行文件當中并能趁機潛入用戶的系統(tǒng),它能跟蹤用戶的上網(wǎng)習慣，更換用戶主頁，竊取用戶的密碼及其他個人隱私信息。（7）、中毒的一些表現(xiàn) 我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣，總會有一些明顯的癥狀表現(xiàn)出來。例如機器運行十分緩慢、上不了網(wǎng)、殺毒軟件升不了級、word文檔打不開，電腦不能正常啟動、硬盤分區(qū)找不到了、數(shù)據(jù)丟失等等，就是中毒的一些征兆。2、中毒診斷（1）、按Ctrl+Shift+Ese鍵(同時按此三鍵)，調(diào)出windows任務管理器查看系統(tǒng)運行的進程，找出不熟悉進程并記下其名稱(這需要經(jīng)驗)，如果這些進程是病毒的話，以便于后面的清除。暫時不要結(jié)束這些進程，因為有的病毒或非法的進程可能在此沒法結(jié)束。點擊性能查看CPU和內(nèi)存的當前狀態(tài)，如果CPU的利用率接近100%或內(nèi)存的占用值居高不下，此時電腦中毒的可能性是95%。（2）、查看windows當前啟動的服務項，由“控制面板”的“管理工具”里打開“服務”。看右欄狀態(tài)為“啟動”啟動類別為“自動”項的行;一般而言，正常的windows服務，基本上是有描述內(nèi)容的(少數(shù)被駭客或蠕蟲病毒偽造的除外)，此時雙擊打開認為有問題的服務項查看其屬性里的可執(zhí)行文件的路徑和名稱，假如其名稱和路徑為C:winntsystem32explored.exe，計算機中招。有一種情況是“控制面板”打不開或者是所有里面的圖標跑到左邊，中間有一縱向的滾動條，而右邊為空白，再雙擊添加/刪除程序或管理工具，窗體內(nèi)是空的，這是病毒文件winhlpp32.exe發(fā)作的特性。（3）、運行注冊表編輯器，命令為regedit或regedt32,查看都有那些程序與windows一起啟動。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面幾個RunOnce等，查看窗體右側(cè)的項值，看是否有非法的啟動項。WindowsXp運行msconfig也起相同的作用。隨著經(jīng)驗的積累，你可以輕易的判斷病毒的啟動項。（4）、取消隱藏屬性，查看系統(tǒng)文件夾winnt(windows)system32,如果打開后文件夾為空，表明電腦已經(jīng)中毒;打開system32后，可以對圖標按類型排序，看有沒有流行病毒的執(zhí)行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執(zhí)行文件就藏身于此;driversetc下的文件hosts是病毒喜歡篡改的對象，它本來只有700字節(jié)左右，被篡改后就成了1Kb以上，這是造成一般網(wǎng)站能訪問而安全廠商網(wǎng)站不能訪問、著名殺毒軟件不能升級的原因所在。 （5）、由殺毒軟件判斷是否中毒，如果中毒，殺毒軟件會被病毒程序自動終止，并且手動升級失敗。3、中毒之后如何處理（1）、在注冊表里刪除隨系統(tǒng)啟動的非法程序，然后在注冊表中搜索所有該鍵值，刪除之。當成系統(tǒng)服務啟動的病毒程序，會在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身，找到之后一并消滅。 （2）、停止有問題的服務，改自動為禁止。 （3）、如果文件system32driversetchosts被篡改，恢復它，即只剩下一行有效值“l(fā)ocalhost”,其余的行刪除。再把host設置成只讀。 （4）、重啟電腦，摁F8進“帶網(wǎng)絡的安全模式”。目的是不讓病毒程序啟動，又可以對Windows升級打補丁和對殺毒軟件升級。（5）、搜索病毒的執(zhí)行文件，手動消滅之。 （6）、對Windows升級打補丁和對殺毒軟件升級。 （7）、關閉不必要的系統(tǒng)服務，如remoteregistryservice。 （8）、第6步完成后用殺毒軟件對系統(tǒng)進行全面的掃描，剿滅漏網(wǎng)之魚。 （9）、上步完成后，重啟計算機，完成所有操作。4、下面介紹兩種常見的緊急情況處理方法（1）、ARP病毒攻擊與防護、1ARP概念ARP，全稱Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進行。、ARP工作原理首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個 ARP列表，以表示IP地址和MAC地址的對應關系。當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己 ARP列表中是否存在該 IP地址對應的MAC地址，如果有就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網(wǎng)絡中所有的主機收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個 ARP響應數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機一直沒有收到ARP響應數(shù)據(jù)包，表示ARP查詢失敗。例如：A的地址為：IP： MAC: AA-AA-AA-AA-AA-AAB的地址為：IP： MAC: BB-BB-BB-BB-BB-BB根據(jù)上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是A發(fā)送一個ARP請求廣播（誰是 ，請告訴），當B收到該廣播，就檢查自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個ARP單播應答（ 在BB-BB-BB-BB-BB-BB）。、欺騙原理假設一個網(wǎng)絡環(huán)境中，網(wǎng)內(nèi)有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：A的地址為：IP： MAC: AA-AA-AA-AA-AA-AAB的地址為：IP： MAC: BB-BB-BB-BB-BB-BBC的地址為：IP： MAC: CC-CC-CC-CC-CC-CC正常情況下A和C之間進行通訊，但是此時B向A發(fā)送一個自己偽造的ARP應答，而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應答，應答包中發(fā)送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應該是AA-AA-AA-AA-AA-AA），當C收到B偽造的ARP應答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。注意：一般情況下，ARP欺騙的某一方應該是網(wǎng)關。、常用的防護方法搜索網(wǎng)上，目前對于ARP攻擊防護問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護軟件，也出現(xiàn)了具有ARP防護功能的路由器。呵呵，我們來了解下這三種方法。 首先：靜態(tài)綁定最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機和網(wǎng)關都做IP和MAC綁定。欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機器，所以我們把ARP全部設置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙，同時在網(wǎng)關也要進行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險。 方法：對每臺主機進行IP和MAC地址靜態(tài)綁定。通過命令，arp -s可以實現(xiàn) “arp s IP MAC地址 ”。例如：“arp s AA-AA-AA-AA-AA-AA”。如果設置成功會在PC上面通過執(zhí)行arp -a 可以看到相關的提示： Internet Address Physical Address TypeAA-AA-AA-AA-AA-AA static(靜態(tài))一般不綁定,在動態(tài)的情況下：Internet AddressPhysical AddressType AA-AA-AA-AA-AA-AA dynamic(動態(tài))說明：對于網(wǎng)絡中有很多主機，500臺，1000臺.，如果我們這樣每一臺都去做靜態(tài)綁定，工作量是非常大的，這種靜態(tài)綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個批處理文件，但是還是比較麻煩的！ 其次：使用ARP防護軟件目前關于ARP類的防護軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護的工作原理是一定頻率向網(wǎng)絡廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。（1）、欣向ARP工具俺使用了該工具，它有5個功能： A. IP/MAC清單選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設置。如果是多網(wǎng)卡需要設置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。IP/MAC掃描。這里會掃描目前網(wǎng)絡中所有的機器的IP與MAC地址。請在內(nèi)網(wǎng)運行正常時掃描，因為這個表格將作為對之后ARP的參照。之后的功能都需要這個表格的支持，如果出現(xiàn)提示無法獲取IP或MAC時，就說明這里的表格里面沒有相應的數(shù)據(jù)。 B.ARP欺騙檢測這個功能會一直檢測內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設到檢測表格里面，例如，路由器，電影服務器，等需要內(nèi)網(wǎng)機器訪問的機器IP。(補充)“ARP欺騙記錄”表如何理解：“Time”：發(fā)現(xiàn)問題時的時間；“sender”：發(fā)送欺騙信息的IP或MAC；“Repeat”：欺詐信息發(fā)送的次數(shù)；“ARP info”：是指發(fā)送欺騙信息的具體內(nèi)容.如下面例子：timesenderRepeatARP info 22:22:222 1433 is at 00:0e:03:22:02:e8這條信息的意思是：在22:22:22的時間,檢測到由2發(fā)出的欺騙信息，已經(jīng)發(fā)送了1433次，他發(fā)送的欺騙信息的內(nèi)容是：的MAC地址是00:0e:03:22:02:e8。打開檢測功能，如果出現(xiàn)針對表內(nèi)IP的欺騙，會出現(xiàn)提示?？梢园凑仗崾静榈絻?nèi)網(wǎng)的ARP欺騙的根源。提示一句，任何機器都可以冒充其他機器發(fā)送IP與MAC，所以即使提示出某個IP或MAC在發(fā)送欺騙信息，也未必是100的準確。所有請不要以暴力解決某些問題。 C.主動維護這個功能可以直接解決ARP欺騙的掉線問題，但是并不是理想方法。他的原理就在網(wǎng)絡內(nèi)不停的廣播制定的IP的正確的MAC地址。“制定維護對象”的表格里面就是設置需要保護的IP。發(fā)包頻率就是每秒發(fā)送多少個正確的包給網(wǎng)絡內(nèi)所有機器。強烈建議盡量少的廣播IP，盡量少的廣播頻率。一般設置1次就可以，如果沒有綁定IP的情況下，出現(xiàn)ARP欺騙，可以設置到50100次，如果還有掉線可以設置更高，即可以實現(xiàn)快速解決ARP欺騙的問題。但是想真正解決ARP問題，還是請參照上面綁定方法。 D. 欣向路由器日志收集欣向路由器的系統(tǒng)日志，等功能。 E.抓包類似于網(wǎng)絡分析軟件的抓包，保存格式是.cap。 （2）、Antiarp這個軟件界面比較簡單，以下為我收集該軟件的使用方法。 A.填入網(wǎng)關IP地址，點擊獲取網(wǎng)關地址將會顯示出網(wǎng)關的MAC地址。點擊自動防護即可保護當前網(wǎng)卡與該網(wǎng)關的通信不會被第三方監(jiān)聽。注意：如出現(xiàn)ARP欺騙提示，這說明攻擊者發(fā)送了ARP欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包，如果您想追蹤攻擊來源請記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP 對應的MAC地址. B.IP地址沖突如頻繁的出現(xiàn)IP地址沖突，這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包，才會出現(xiàn)IP沖突的警告，利用Anti ARP Sniffer可以防止此類攻擊。 C.您需要知道沖突的MAC地址，Windows會記錄這些錯誤。查看具體方法如下：右擊我的電腦-管理-點擊事件查看器-點擊系統(tǒng)-查看來源為TcpIP-雙擊事件可以看到顯示地址發(fā)生沖突，并記錄了該MAC地址，請復制該MAC地址并填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉(zhuǎn)換為-)，輸入完成之后點擊防護地址沖突，為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig /all，查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，如果更改失敗請與我聯(lián)系。如果成功將不再會顯示地址沖突。注意:如果您想恢復默認MAC地址,請點擊恢復默認,為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。 再次：具有ARP防護功能的路由器 這類路由器以前聽說的很少，對于這類路由器中提到的ARP防護功能，其實它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對于真正意義上的攻擊，是不能解決的。ARP的最常見的特征就是掉線，一般情況下不需要處理一定時間內(nèi)可以回復正常上網(wǎng)，因為ARP欺騙是有老化時間的，過了老化時間就會自動的回復正常?，F(xiàn)在大多數(shù)路由器都會在很短時間內(nèi)不停廣播自己的正確ARP信息，使受騙的主機回復正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP，1秒有個幾百上千的)，它是不斷的發(fā)起ARP欺騙包來阻止內(nèi)網(wǎng)機器上網(wǎng)，即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒?？赡苣銜幸蓡枺何覀円部梢园l(fā)送比欺騙者更多更快正確的ARP信息??？如果攻擊者每秒發(fā)送1000個ARP欺騙包，那我們就每秒發(fā)送1500個正確的ARP信息！ 面對上面的疑問，我們仔細想想，如果網(wǎng)絡拓撲很大，網(wǎng)絡中接了很多網(wǎng)絡設備和主機，大量的設備都去處理這些廣播信息，那網(wǎng)絡使用起來好不爽，再說了會影響到我們工作和學習。ARP廣播會造成網(wǎng)絡資源的浪費和占用。如果該網(wǎng)絡出了問題，我們抓包分析，數(shù)據(jù)包中也會出現(xiàn)很多這類ARP廣播包，對分析也會造成一定的影響。（2）、WORM_DOWNAD處理方法 WORM_DOWNAD病毒是一種透過多種管道攻擊其它計算機的病毒。當企業(yè)內(nèi)部一旦感染這種復合型攻擊的病毒時，若沒有事先做好應對的措施，很容易因為資安環(huán)境有弱點而在短時間內(nèi)造成嚴重的傷害WORM_DOWNAD具有以下幾種特性：透過MS08-067的系統(tǒng)弱點攻擊計算機利用密碼字典攻擊法登入Admin$system32數(shù)據(jù)夾執(zhí)行病毒檔案，并在工作排程中新增工作項目產(chǎn)生病毒檔案在可攜式磁盤驅(qū)動器與網(wǎng)絡磁盤驅(qū)動器中產(chǎn)生病毒檔案與Autorun.inf，可透過USB可攜式裝置感染其它系統(tǒng)主動聯(lián)機特定URL下載其它病毒檔案WORM_DOWNAD一開始出現(xiàn)的時候，是透過MS08-067的弱點攻擊操作系統(tǒng)，由于該病毒出現(xiàn)時修正程序剛發(fā)布不久，許多企業(yè)還來不及更新操作系統(tǒng)。部份企業(yè)因生產(chǎn)線無法停擺，安裝修正程序需要排程規(guī)劃。一旦遇上攻擊系統(tǒng)弱點的病毒，很容易就在短時間內(nèi)就快速散播，唯有安裝修正程序才能避免遭受病毒再次攻擊。管理者賬戶密碼沒有定期更新，沒有規(guī)定密碼復雜度趨勢科技工程師在處理幾家企業(yè)的病毒問題時，常發(fā)現(xiàn)明明這家公司都有更新了系統(tǒng)的修正程序，卻仍然還有WORM_DOWNAD病毒在內(nèi)部流竄，檢查后才發(fā)現(xiàn)一般資安人員在為公司計算機安裝系統(tǒng)時，大多使用Ghost等備份軟件以便節(jié)省安裝系統(tǒng)的時間，而使用者可用網(wǎng)域賬戶登入系統(tǒng)執(zhí)行作業(yè)。該做法雖然省時省力，卻忽略了本機的管理者賬戶密碼未修改的風險。而后期的WORM_DOWNAD病毒，利用字典密碼攻擊法的方式，使用常見的密碼清單嘗試登入Admin$植入病毒檔案并執(zhí)行。所以就算系統(tǒng)已經(jīng)安裝了最新的修正程序，仍然會被植入病毒檔案。因此，建議信息人員在安裝系統(tǒng)后立即修改系統(tǒng)管理者的密碼，且必須要有足夠的復雜度，或是停用本機管理者賬號。若用戶使用網(wǎng)域賬戶登入系統(tǒng)，建議企業(yè)內(nèi)部應制定策略定期更新使用者密碼，避免病毒利用字典密碼攻擊法的方式散播病毒。未建置HTTP網(wǎng)關端防毒，無法攔截特定檔案類型Web Threat已經(jīng)是近幾年來病毒散播的趨勢，利用HTTP通訊協(xié)議下載惡意程序到計算機中，不易防堵。WORM_DOWNAD同樣也會透過HTTP的方式下載其它惡意程序至受感染的計算機。但我們發(fā)現(xiàn)仍有少數(shù)企業(yè)未針對HTTP的通訊協(xié)議建置防毒。使得病毒容易透過網(wǎng)頁的方式感染客戶端，不只WORM_DOWNAD病毒，許多時下常見的特洛伊木馬或后門程序也大多由HTTP而來，是最不容易防堵的一個感染來源。因此，我們建議企業(yè)應建置HTTP網(wǎng)關端防毒，除了控管使用者能存取的網(wǎng)頁類型與過濾惡意網(wǎng)站外，最好能設定阻擋特定的檔案類型，例如scr、pif、exe等執(zhí)行文件，并使用True File Type掃描才能識別檔案的真正類型。開啟防火墻，記錄攻擊來源建議一般客戶端可開啟防火墻來阻擋這類型的網(wǎng)絡型病毒，而且透過系統(tǒng)弱點攻擊計算機的病毒大多會在防火墻留下記錄，信息人員可根據(jù)防火墻的記錄文件搜尋攻擊來源的IP，一方面利用防火墻阻止病毒擴散，另一方面可迅速尋找感染病毒的來源客戶端。外來使用者或筆記型計算機用戶沒有適當?shù)墓芾恚Y產(chǎn)管理并未完善我們在碰到某些客戶處理WORM_DOWNAD病毒問題時，雖然根據(jù)病毒紀錄