ARP病毒防制方法函待加強
ARP病毒問題已經講了很長一段時間了,大家對于ARP病毒的防制也總結了不少的經驗,不斷在網上發更新防制方法。但是新的ARP病毒的變種更加猖獗,更加充斥我們網絡的不同角落給我們的管理工作帶來不大不小的問題,同時也影響到網絡的正常運行,所以對ARP病毒的防護仍然是一個熱點問題。
近日,又聽到有許多網管抱怨傳統的綁定方法有時候不能做到防制或者不能根本解決問題,例舉一些在日常處理中經常會出現的問題:
1、僅在PC上綁定安全網關的IP和MAC地址或者做一個批處理文件來進行綁定,當病毒機器偽造IP/MAC,使錯誤的數據包充斥與網絡中會造成大面積的掉線等情況。
2、僅在路由器做MAC綁定,沒有從根本上解決ARP防護,當中ARP病毒的機器偽造網關使其他電腦將數據發到偽造的網關同樣會造成掉線等相關問題。
3、利用一些輔助工具軟件,比如一些防ARP病毒攻擊軟件,或者在PC機安裝系統是安裝IP/MAC綁定軟件等,但現在還沒有一款很實用的防ARP攻擊軟件可以做到有效的防制功能,再就是有些軟件占用系統資源比較大,如果有攻擊的話會大量占用CPU使用率以及內存等同樣造成網絡的不可用等問題。
4、使用監控軟件,但是ARP病毒的發作不是說有規律可尋找的,網絡管不可能時時都去注意這樣的問題。
5、某些軟件通過做幾個假的DLL文件欺騙探測軟件,但是某些ARP新的變種病毒不需要探測就可以進行ARP攻擊。
6、在客戶綁定過程中出現輸入的錯誤等操作上的不足。
以上幾個常用的方法其起到的作用是有限的,但是都會存在這樣或者那樣的弊端,我們必須尋求更好的解決辦法,下面我們來介紹幾招新的升級版的防治辦法,這些都是Qno俠諾工程師們長期服務在一線工作中所積累寶貴經驗。
解決客戶實例
對于合肥有一家網吧有做了ARP綁定,亦無法抵擋ARP攻擊, Qno俠諾工程師聯系到客戶并查看他的電腦,看到的批處理如下,并且PC 端通過Arp –a命令來確認并沒有綁定。原因在與其echo后面的中文的敘述沒有用“ ”來做標示,造成其批處理文件無法執行,其用戶本機上根本沒做相應的綁定工作,如圖1。
@echo OFF
ping XXX.XXX.XXX.XXX(保證客戶網絡安全,其IP地址數字用X代替)
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在獲取本機信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=
%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set
MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在獲取網關信息.....
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set
GateIP=%%i && GOTO GateMac
:GateMac
echo IP:%GateIP%
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set
GateMAC=%%i && GOTO Start
:Start
echo MAC:%GateMAC%
arp -d
arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit