网管员世界-ARP病毒的检测方法.doc

ARP 病毒的检测 方法 ARP 病毒的检测方法 方法一，用户自查法 1. 同时按住键盘上的Ctrl+ Alt+Del键，选择任务管理器，单击进程标签，查看其中是否有一个名为MIR0.dat进程。如果有，说明已经中毒。右键点击此进程后, 选择结束进程命令。 2. 如果用户突然发现无法上网，可以通过如下方法验证是否感染此木马病毒： （1）单击开始运行，输入cmd，再输入arp-d，回车。 （2）重新尝试上网，若能短暂正常访问，则说明此次断网是受木马病毒影响。该病毒发作后，在系统进程列表中会有MIR0.dat这个进程存在，可通过直接结束进程的方法解决。 方法二，基层定位法 1. 因所有基层单位都是通过三层交换机设备接入城域网的，因此可以通过检查其三层交换机设备上的 ARP 表来进行定位。 如果发现有多个 IP 地址对应同一个 MAC 地址，则说明此 MAC 地址对应的计算机很可能中了 ARP 木马病毒。可通过下连的二层交换机的转发表查到此 MAC 地址对应的交换机端口，从而定位出有问题的计算机，关闭此端口，通知终端用户查杀病毒结束后再开放端口。 2. 让基层单位网络管理员扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 地址对应的 MAC 地址与网关的 MAC 地址相同，那么这个 IP 地址和 MAC 地址就是中毒计算机的 IP 地址和 MAC 地址。 方法三, 端口镜像抓包分析法 笔者所在的教育城域网通过 NAT 转换的方式连接到互联网，所以在中心交换机上将内网口进行了端口镜像，利用 Sniffer 进行抓包分析，凡大量发送 ARP 请求的均可能是此木马感染者。 一经发现，立即关闭此端口，并通过交换端口确定上网用户，通知用户查杀病毒，直至确认无毒后再开放端口。 处理方案 1. 静态 ARP 绑定网关 步骤一： 在能正常上网时，进入 MS-DOS 窗口，输入命令arp-a，查看网关 IP 对应的正确 MAC 地址，并将其记录下来。 如果已经不能上网，则先运行一次命令 arp -d, 将 arp 缓存中的内容清空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能够上网，就立即将网络断掉（禁用网卡或拔掉网线），再运行arp -a命令。 步骤二： 如果计算机已经有网关的正确 MAC 地址，在不能上网时，只需手工将网关 IP 和正确的MAC 地址绑定，即可确保计算机不再遭到欺骗攻击。 要想手工绑定，可在 MS-DOS 窗口下运行以下命令：arp s 网关 IP 网关 MAC 假设计算机所处网段的网关为10.8.6.250，本机地址为10.8.6.9，在计算机上运行arp a后输出如下内容： 1 C:Documents and Settingsarp -a2 Interface:10.8.6.9 - 0x23 Internet Address Physical Address4 Type5 10.8.6.250 00-01-02- 03-04-05 dynamic其中，00-01-02-03-04-05 就是网关10.8.6.250 对应的 MAC 地址，类型是动态 dynamic，因此是可被改变的。 被攻击后，再用该命令查看，就会发现该 MAC 地址已经被替换成攻击机器的 MAC 地址。如果希望找出攻击机器，彻底根除攻击，可以将该 MAC 记录下来，为以后查找该攻击的机器做准备。 手工绑定的命令为： 6 arps 10.8.6.250 00-01 -02-03-04-05绑定完，可以再用arp -a查看 arp 缓存： 7 8 9 10 C:Documents and Settings arp -aInterface:10.8.6.9 - 0x2Internet Address Physical Address Type10.8.6.250 00-01-02- 03-04-05 static这时，类型变为静态（static），就不会再受攻击影响了。 需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底根除攻击，只有找出网段内被 ARP 病毒感染的计算机，把病毒杀掉，才算是真正解决问题。 2. 制作批处理文件 在客户端做对网关的 arp 绑定，具体操作步骤如下。 步骤一： 查找本网段的网关地址，比如192.168.1.1，以下以此网关为例。在正常上网时，单击开始运行 cmd 确定，输入：arp -a，点回车，查看网关对应的 PhysicalAddress。 比如：网关192.168.1.1 对应00-01-02-03-04-05。 步骤二： 编写一个批处理文件 rarp.bat，内容如下： 11 echo off12 arp d13 arp -s 192.168.1.1 0001020314 0405保存为 rarp.bat。 步骤三： 运行批处理文件将这个批处理文件拖到Windows开始程序启动中，如果需要立即生效，请运行此文件。 以上配置需要在网络正常时进行。 3. 利用安全工具软件 及时下载 Anti ARP Sniffer 软件保护本地计算机的正常运行。具体使用方法可在网上搜索。 如果已有病毒计算机的 MAC 地址，可使用 NBTSCAN 等软件找出网段内与该 MAC 地址对应的 IP，即感染病毒的计算机的 IP 地址，然后报告给网络管理员，对其进行查封，或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外，还可以利用木马杀客等安全工具进行查杀。 预防和注意事项 预防 ARP 欺骗木马病毒的最根本的措施其实还是老生常谈的那几项：定期更新操作系统；下载和安装最新的系统补丁；安装杀毒软件并及时升级病毒库；提高上网用户的网络安全防范意识和能力等。 笔者在这里要特别强调一下，一定要努力提高上网用户的网络安全防范意识和水平。要知道，网络安全问题不是网络中心一个部门就能解决的，需要所有上网 用户的配合和支持。因为蠕虫、病毒和木马等在网络中的传播速度越来越快，任何一个用户受到病毒感染，都可能给整个网络带来致命的影响。 应该通过培训和讲座提高用户的网络安全防范意识和能力，提高整体的防毒意识。只有大家共同努力，才可能营造一个稳定、安全、畅通的网络环境。 警惕内部人员威胁 病毒和黑客攻击往往能给人们带来直接而明确的损失或影响，因此，很多企业特别是中小企业对于安全的认识还停留在防范病毒和黑客攻击上。然而，随着企 业信息化的发展，存储在 IT 系统中的数据的安全问题开始凸显出来，但很多企业对于企业核心数据损失及泄露这一问题却不够重视，甚至个别企业并没有把数据损失及泄露视为安全问题，没有 采取任何有效的防范措施。 事实上，每个企业在自身运作过程中都会产生大量的数据，其中有很多都具有极大的价值，需要进行重点保护。而从实际案例来看, 企业所面临的数据损失及泄露方面的风险可能比病毒和黑客攻击的风险更大。如果企业不能清楚地认识到其中存在的风险，缺乏相应的控制和防范手段，那么一旦出 现重大的数据损失及泄露事件，必然会给企业带来巨大的经济损失和负面影响。 导致数据损失及泄露的威胁来源有很多，比如黑客、竞争对手、商业间谍等，但最为普遍的是来自企业内部人员的风险。 许多企业只重视来自外部的威胁，并积极主动地进行防范，但对于来自内部人员的威胁却知之甚少，这就导致数据保护策略存在很大的漏洞，大大增加了数据损失的风险。企业如果想要有效地解决数据损失及泄露问题，就必须清楚地认识并评估来自企业内部人员的各种威胁。 尽管由于业务的不同，每个企业在数据保护方面所面临的具体威胁是有差异的，但其中依然存在共同和普遍性的威胁。 下面笔者就列举和分析一下企业中最为典型和常见的内部威胁场景。 离职员工的“小动作” 在企业中，正常与非正常的人员流动是不可避免的，很多员工在离职之前都或多或少地接触和掌握了一些企业的敏感数据。当这些员工准备离职时，他们中的 一些人有可能为了在以后的工作中有所参考，或者为了将来更好地展示自己的能力和价值，偷窃公司中将来可能会用到的数据，比如销售渠道信息、客户信息、 最新产品资料、设计方案、技术文档、源代码、软件授权等。 在很多案例中，离职员工在离职的最后几天都会做出一些小动作，这些小动作可能是偷窃公司的敏感数据，也可能对公司的数据进行破坏。 其中，偷窃数据的行为比较常见，很多离职员工都会从办公电脑、公司文件服务器或公司内网系统中取得他们想要的数据资料，然后通过各种方式将这些敏感 数据带走。例如，把数据复制到移动硬盘、U 盘、刻录光盘、手机等存储介质中，随手带走；通过 QQ、MSN 等IM 工具的文件传输功能外传数据；把数据上传到网络硬盘等在线存储中；用 E-mail 发送数据；打印或复印重要资料；对资料进行拍照等。 除了偷窃数据外，有些恶意的离职员工甚至还有可能删除或修改企业的敏感数据，或者在其中植入木马、后门等。 离职员工的这些小动作给企业带来的后果可能是非常严重的：一些产品设计可能被抄袭模仿，重要客户可能流失，原有的竞争优势可能莫名其妙地失去，企业收入可能受到影响，客户信息可能被泄露，还有可能给企业带来法律上的处罚等。 为了防范离职员工的这些小动作，企业需要针对性地 采取一些数据保护措施： （1）在不违反法律的前提下，对员工的活动进行监控，以便及时发现用户操作中的有害行为。 （2）监控敏感数据的使用。 （3）建立强有力的取证体系，即便泄密也有办法进行调查取证。 （4）改进员工离职流程，加强管理监督。 掌握敏感数据员工的违规操作 某国家曾经发生了一起海军舰船资料外泄事件，经调查是某个中级军官为了方便在外出时及时工作，私自把一些舰船方面的军事机密数据拷贝到自己的笔记本电脑中，结果在宾馆使用时不小心感染了木马，造成了数据泄露，并被黑客公布在网络上，最终造成了很严重的后果。 其实，类似的事件在企业中也是时有发生的，例如，为了配合同伴完成某项工作，人力资源部门的员工有时候会把员工的信息数据以邮件的形式发给同伴；财 务部门的员工有时候会把财务数据、电子表格等数据复制到其他的设备中，然后带回家工作这些安全意识淡薄的员工只想着把工作更快地做好，却忽视了数据的 安全问题，往往会在无意中给企业带来巨大的损害。 在企业中，总有一些员工在工作中需要接触一些敏感数据和信息，比如人力资源、财务、采购、销售、研发等部门的人员，他们会接触到客户信息、员工信 息、财务信息、关键技术等信息。而这些掌握敏感数据的员工如果安全意识不强，有意或无意间做了一些违规的操作，很可能给这些数据带来重大危险。 掌握敏感数据的员工常见的无意而有危险的违规操作有很多，其中包括把数据以邮件的形式发给同伴或合作者，以配合其完成工作任务；将数据复制到各种移 动存储设备中，如移动硬盘、U 盘、存储卡等，并带回家继续使用；通过电子邮件把文件发给自己或上传到互联网上，以便可以随时随地使用，或作为备份；把数据打印出来，以便自己可以在不同 地点查看其中的内容。 针对掌握敏感数据的员工的违规操作，需要重点从以下几个方面来制定安全防范措施: （1）加强员工的安全意识教育。 （2）监控敏感数据的存储区域和使用情况。 （3）识别企业正常业务过程中可能存在的数据泄露风险。 （4）对可能的意外数据损失事先制定防范措施。 “热心”的 IT 部门员工 在企业信息化程度不断上升的今天，企业的 IT 部门承担了越来越重要的任务和角色。IT 部门要维护企业的各种 IT 资源和系统，协助其他部门完成工作。从某种程度上讲，IT 部门相当于一个服务部门，他们为公司全体员工甚至公司外部的合作伙伴、顾客、供应商等提供着 IT 支持和服务。有时候，IT 部门会出现一些很热心的员工，这种热心一旦超越了应有的权限范围，反而会给数据保护带来新的威胁。 IT 部门员工在面对公司员工、合作伙伴、顾客、供应商、外包人员等人群时，有可能会无意中让非授权的用户访问敏感数据。比如，为了方便外包人员取得必要的数 据，给外包人员开放内部系统和文件共享的访问权限，而外包人员有可能通过这个访问权限访问一些不应该看到的数据，从而造成数据泄露。 IT 部门员工的过度授权，可能只是出于协助外部相关人员完成工作的目的，但事实上却危害到企业数据的安全。 对此，我们在进行防范时需要注意以下几点； （1）要知道敏感数据存储在哪些地方，对敏感数据的存储区域要严格执行访问控制规定。 （2）要知道谁能在何时以何种方式访问敏感数据。 （3）对公开的知识库的内容要进行检查，对其中可能存在的敏感数据进行消密处理。 （4）无论对内还是对外，都要加强日常的访问控制管理。 保护数据需要注意的问题 以上只是3 个典型内部人员威胁场景，如果对具体企业进行分析调研，一定可以找到更多的场景。因此，管理者必须意识到企业内部人员的威胁是真实存在的，需要加强数据损失防护。 目前市场上也出现了许多专门的 DLP（数据防泄露）产品，这无疑为企业保护核心数据提供了有力的专业级别的支撑。但在选购产品之前，建议您注意以下几点: （1）分析企业数据，基于数据的价值进行安全保护方面投资。 （2）要把技术和管理配合起来使用，单纯靠产品或单纯靠制度的做法都是不可取的。 （3）在采取技术或管理措施之前，要找出风险所在，并对风险进行评估。 （4）在采取各种技术或管理措施之前，要确认不会给正常业务带来负面影响。 （5）制定数据保护策略，并对相关的工作人员进行培训，确保策略能够被正确地理解并执行。 （6）加强教育和培训，提高企业员工的数据安全意识。 保护企业核心数据已经成为当今企业安全工作的重点之一，管理者应真正注意和重视到来自企业内部人员的各种威胁，只有建立完整的数据保护操作流程，及时清除在数据保护过程中出现的漏洞，才能真正有效地保护好企业核心数据的安全。 渗透测试注意事项 渗透测试的目的是为了确定是否有可以进入网络并损害系统的漏洞。一般来说，渗透测试需要由一个可信的第三方积极地进行扫描和攻击，其操作过程和真实的非法攻击一样。 测试范围 不少单位选择仅对局部 IT 基础架构进行渗透测试，但从现在的安全形势来看，只有对整个IT 基础架构进行测试才有意义。 这是因为在通常情况下，黑客只要在一个领域找到漏洞，就可以利用这个漏洞攻击另外一个领域。例如，在非法入侵者破解了某个无线接入点的弱口令之后，就可以获得网络的访问权，进而损害到某台服务器，并获得登录凭证，甚至还可以访问数据库。 约束条件 渗透测试可以通过多种方法进行，实施时所遇到的最初约束条件将会影响到测试的结果，其中很重要的约束条件就是测试团队在开始实施测试时所获得的信息量。要想理解这一点，不妨从非法入侵者的角度来分析。 非法入侵者在行动之前，必须进行大量的准备工作，其中包括信息收集，利用网络资源搜索您所在公司的尽可能多的信息，如员工及其姓名、爱好等；端口扫 描，目的是为了知道哪些主机连接到了网络上，该主机上运行着哪些操作系统，以及这些操作系统运行着哪些易受攻击的服务等信息；侦察，与您所在单位运行的特 定服务器通信，以便从中获取想要了解的信息。这些准备工作有助于入侵者描绘网络基础架构的局部特征，以便搜索系统漏洞。 黑盒测试与白盒测试 企业可选择不同的测试方法。 例如，将渗透测试人员放在与入侵者同样的境地，在测试开始前不提供企业 IT 系统的任何信息，这意味着渗透测试人员必须首先了解企业的基础架构，这种方法称为黑盒测试。好处是模仿了真实入侵者所面临的条件，使管理员可以根据真实条件，有针对性地部署相关纠正措施。