ARP病毒網(wǎng)絡(luò)防控實(shí)戰(zhàn)手冊[V1.0]

hust888

第一部分 二層交換機(jī)為主的網(wǎng)絡(luò)環(huán)境\r\n策略摘要\r\n

• 終端防控：封閉USB接口、安裝ARP防火墻和防病毒軟件、開啟PC防火墻
• 內(nèi)網(wǎng)防控：劃分安全域、綁定IP&MAC地址、監(jiān)控ARP日志、查找中毒PC
• 外網(wǎng)防控：過濾帶危險(xiǎn)文件后綴的URL、打開不良網(wǎng)址庫、啟用網(wǎng)關(guān)防病毒

1 實(shí)施步驟\r\n1.1 劃分安全域\r\n      根據(jù)聯(lián)網(wǎng)設(shè)備的重要性和類型劃分安全域，例如：領(lǐng)導(dǎo)、賬務(wù)部門等重要部門的計(jì)算機(jī)分為一個(gè)域，普通員工的計(jì)算機(jī)根據(jù)部門分為一個(gè)或多個(gè)域，網(wǎng)管的計(jì)算機(jī)分為一個(gè)域，服務(wù)器單獨(dú)分為一個(gè)或多個(gè)域，每個(gè)安全域均配置一臺接入交換機(jī)連接本安全域內(nèi)的計(jì)算機(jī)，為以后再連接網(wǎng)關(guān)或中心交換機(jī)做準(zhǔn)備。安全域劃分示意圖詳見下圖。\r\n \r\n1.2 客戶端設(shè)置\r\n1.2.1 分配IP地址\r\n      盡量按靜態(tài)方式分配IP地址，每個(gè)安全域?qū)��?yīng)的網(wǎng)段均不相同，例如：安全域1的網(wǎng)段是192.168.1.0/24，缺省網(wǎng)關(guān)是192.168.1.254，安全域2的網(wǎng)段是192.168.2.0/24，缺省網(wǎng)關(guān)是192.168.2.254，安全域3的網(wǎng)段是192.168.3.0/24，缺省網(wǎng)關(guān)是192.168.3.254�？蛻舳巳笔【W(wǎng)關(guān)IP就是網(wǎng)關(guān)各個(gè)網(wǎng)卡的IP。\r\n      如果只能是一個(gè)網(wǎng)段則可以通過多個(gè)相互隔離的透明網(wǎng)橋互聯(lián)（需要網(wǎng)關(guān)支持）。\r\n1.2.2 安裝ARP防火墻\r\n      為實(shí)現(xiàn)網(wǎng)關(guān)和客戶端的雙向IP&MAC地址綁定，客戶端最好安裝ARP防火墻，或者手工通過命令綁定網(wǎng)關(guān)的IP&MAC地址，即在DOS窗口下輸入命令：arp  –s <網(wǎng)關(guān)IP> <網(wǎng)關(guān)MAC地址>，為保證永久生效，可將這條命令輸入到c:\\autoexec.bat文件中。同時(shí)確保及時(shí)更新殺毒軟件病毒庫，并啟用PC防火墻。必要時(shí)可以封閉計(jì)算機(jī)的USB接口，以防止ARP病毒通過U盤傳播。\r\n1.3 登記網(wǎng)卡MAC地址和廠家信息\r\n      登記各個(gè)安全域內(nèi)每臺PC、筆記本、服務(wù)器的IP地址以及網(wǎng)卡的MAC地址和廠家信息，為以后根據(jù)ARP監(jiān)控日志查找中毒計(jì)算機(jī)做準(zhǔn)備。  \r\n1.4 設(shè)置網(wǎng)關(guān)策略\r\n1.4.1 設(shè)置ARP策略\r\n      對每個(gè)安全域分別進(jìn)行自動掃描，建立在線計(jì)算機(jī)的IP及MAC地址的對應(yīng)關(guān)系，通過事先登記的信息確認(rèn)后予以綁定，對于未上線的計(jì)算機(jī)可以手工綁定，剩余不用的IP地址均綁定為某個(gè)特殊的MAC地址，例如：AA:BB:CCD:EE:FF，以防止用戶私改IP或外來訪客筆記本隨意接入內(nèi)網(wǎng)。如果是透明接入，還可以對上一級網(wǎng)關(guān)的IP及MAC地址做綁定。\r\n網(wǎng)關(guān)ARP策略設(shè)置如下圖所示。\r\n \r\n1.4.2 設(shè)置訪問控制策略\r\n1）缺省策略：除非允許否則拒絕。\r\n2）內(nèi)網(wǎng)策略：根據(jù)實(shí)際情況設(shè)置各個(gè)安全域之間的訪問控制策略，例如：領(lǐng)導(dǎo)所在網(wǎng)段可以訪問其它網(wǎng)段，其它網(wǎng)段不能訪問領(lǐng)導(dǎo)所在網(wǎng)段，即單向ACL；訪問公共OA、郵件或文件服務(wù)器的流量要經(jīng)過IPS過濾等。\r\n3）外網(wǎng)策略：只允許登記的IP地址上外網(wǎng)，禁止未分配的IP地址上外網(wǎng)；服務(wù)器只能被動接受訪問，不能主動訪問其它計(jì)算機(jī)，病毒庫升級例外。\r\n1.4.3 設(shè)置上網(wǎng)行為管理策略（需要網(wǎng)關(guān)支持）\r\n      由于ARP病毒可以在用戶上網(wǎng)瀏覽時(shí)進(jìn)行傳播，因此要對用戶的上網(wǎng)行為進(jìn)行管理，一般只對JS、EXE、SWF等文件后綴進(jìn)行過濾，同時(shí)可以打開惡意軟件、病毒木馬網(wǎng)站不良網(wǎng)址庫，必要時(shí)可以開啟網(wǎng)關(guān)防病毒功能，通過卡巴斯基等防病毒引擎對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)強(qiáng)制查毒，將ARP病毒攔截在網(wǎng)絡(luò)入口處。某些有信譽(yù)的網(wǎng)站可以放到白名單列表里，以免影響正常工作效率。\r\n1.4.4 設(shè)置報(bào)警信息\r\n      設(shè)置Syslog服務(wù)器、報(bào)警Email、手機(jī)等實(shí)時(shí)接收工具，方便實(shí)時(shí)接收報(bào)警信息。設(shè)置阻攔動作，當(dāng)出現(xiàn)ARP異常時(shí)，阻攔該IP地址出外網(wǎng)。\r\n1.5 日常維護(hù)\r\n1.5.1 網(wǎng)關(guān)日志查詢\r\n      打開網(wǎng)關(guān)的WEB管理界面，實(shí)時(shí)查看當(dāng)前的ARP日志，或統(tǒng)計(jì)ARP日志中條數(shù)多的源IP地址，如果發(fā)現(xiàn)異常情況，可根據(jù)記錄的MAC地址找到中毒的計(jì)算機(jī)，然后要把該計(jì)算機(jī)的網(wǎng)線拔掉，殺毒、重裝系統(tǒng)后再聯(lián)網(wǎng)。\r\n1.5.2 查找中毒計(jì)算機(jī)\r\n      當(dāng)聯(lián)網(wǎng)用戶反應(yīng)不能上網(wǎng)或上網(wǎng)慢，則可能是已中ARP病毒的計(jì)算機(jī)上線并正在干擾其它計(jì)算機(jī)上網(wǎng)，可以在不能上網(wǎng)或上網(wǎng)慢的計(jì)算機(jī)上，通過arp及ping命令查證ARP欺騙情況，并找到已中ARP病毒的計(jì)算機(jī)。\r\n步驟一：arp  –a\r\n      打開Windows的DOS窗口，輸入命令：arp  –a，可顯示當(dāng)前ARP緩存的情況，以下兩種情況表明這臺計(jì)算機(jī)被ARP欺騙：\r\n（a）如果網(wǎng)關(guān)IP對應(yīng)的MAC地址不是真實(shí)網(wǎng)關(guān)的MAC地址，而是局域網(wǎng)中另外一臺計(jì)算機(jī)的MAC地址；\r\n（b）如果多個(gè)IP地址對應(yīng)同一個(gè)MAC地址。\r\n這樣的MAC地址對應(yīng)的計(jì)算機(jī)就是已中ARP病毒的機(jī)器，或是人工實(shí)施ARP欺騙的計(jì)算機(jī)。\r\n此時(shí)，輸入命令：ping <網(wǎng)關(guān)IP>，如果有反饋，而且time值超出正常值<1ms的幾倍，例如：<10ms，則表明流量已經(jīng)轉(zhuǎn)發(fā)到已中毒計(jì)算機(jī)上，這也印證了這臺計(jì)算機(jī)正在被ARP欺騙。\r\n步驟二：arp  –d & ping <網(wǎng)關(guān)IP> & arp -a\r\n       在DOS窗口，輸入命令：arp  –d，可刪除當(dāng)前所有ARP緩存，緊接著輸入命令：ping <網(wǎng)關(guān)IP>，再輸入命令：arp －a，可獲得真實(shí)網(wǎng)關(guān)IP對應(yīng)的MAC地址。如果ping有反饋，而且time值是正常值<1ms，則表明此時(shí)網(wǎng)關(guān)的MAC地址是真實(shí)網(wǎng)關(guān)的MAC地址。\r\n步驟三：確認(rèn)已中ARP病毒的計(jì)算機(jī)\r\n      為確認(rèn)已中ARP病毒的計(jì)算機(jī)，可將被懷疑的計(jì)算機(jī)的網(wǎng)線拔出，再在不能上網(wǎng)或上網(wǎng)慢的計(jì)算機(jī)上重復(fù)arp –d、ping <網(wǎng)關(guān)IP>和arp –a命令，或者直接上網(wǎng)瀏覽，如果情況恢復(fù)正常則表明剛才拔出網(wǎng)線的計(jì)算機(jī)就是已中ARP病毒的計(jì)算機(jī)，需要對其殺毒、重裝系統(tǒng)，之后才能連線上網(wǎng)。\r\n2 方案特點(diǎn)\r\n2.1 全面細(xì)致\r\n      對ARP病毒傳播的各個(gè)途徑都做了主動防范，事前規(guī)劃、事中響應(yīng)、事后清理一應(yīng)俱全，終端、網(wǎng)關(guān)相互配合，內(nèi)網(wǎng)、外網(wǎng)同時(shí)防控。\r\n2.2 等級保護(hù)\r\n      對內(nèi)部網(wǎng)絡(luò)做了安全域的劃分，減少了因個(gè)別計(jì)算機(jī)中毒而導(dǎo)致全網(wǎng)中斷的風(fēng)險(xiǎn)，減少了因DMZ區(qū)個(gè)別服務(wù)器掛馬而導(dǎo)致全部服務(wù)器中毒的風(fēng)險(xiǎn)，減少了內(nèi)網(wǎng)不良分子惡意竊取單位機(jī)密信息的風(fēng)險(xiǎn)。\r\n\r\n更多請看: http://www.trustcomputing.com.cn/ch/index.php/content/view/78/25/

pxf520

在交換機(jī)做一下mac綁定就ok了