ARP病毒如何防護?

[gbchang]

各位先進,
小弟公司昨天遭受ARP病毒攻擊, 整個網路癱了一段時間, 它更改換 CoreSwitch的ARP Table, 將兩台主要AD主機導到中ARP
木馬的主機上, 造成DNS解析錯誤.無法連網(IP可以通)。
想請教先進,
1.ARP木馬病毒 會因為上網而感染嗎?
2.目前找到中木馬的主機, Trend防毒軟體卻掃不出來, 有什麼解木馬的工具?
3.一般ARP木馬要如何防護?
謝謝.

[Tang Vincent]

關於ARP攻擊的原理及如何防護在某一期的iThome有相關的報導，

你可以在iThome的網站上看看：http://www.ithome.com.tw/itadm/article.php?c=54461

關於掃毒的部分，如果你的Windows作業系統都有定期更新，你也許可以試看看「惡意程式移除工具」是否可以清除，

執行的方式為在Windows的「執行」對話方塊中輸入「mrt」即可啟動...

2009/12/18 gbchang <gbc...@gmail.com>

--

您已訂閱「Google 網上論壇」的「CISSPTaiwan」群組，因此我們特別傳送這封郵件通知您。
如要在此群組張貼留言，請傳送電子郵件至 cissp...@googlegroups.com。
如要取消訂閱此群組，請傳送電子郵件至 cissptaiwan...@googlegroups.com。
如需更多選項，請造訪此群組：http://groups.google.com/group/cissptaiwan?hl=zh-TW。

--
Vincent

[Roland]

在課堂上跟大家提出來討論, 有一位之前擔任網管的學員建議, 將重要 server 的 MAC 鎖定, 無法由網路封包篡改, 並開啟
switch 的 ARP snooping 防護.
另可使用免費工具: ARP Antispoofer 偵測 arp spoofing 攻擊工具

Roland

Tang Vincent 寫道：

> 關於ARP攻擊的原理及如何防護在某一期的iThome有相關的報導，
> 你可以在iThome的網站上看看：http://www.ithome.com.tw/itadm/article.php?c=54461
> 關於掃毒的部分，如果你的Windows作業系統都有定期更新，你也許可以試看看「惡意程式移除工具」是否可以清除，
> 執行的方式為在Windows的「執行」對話方塊中輸入「mrt」即可啟動...
>
> 2009/12/18 gbchang <gbc...@gmail.com>
>
> > 各位先進,
> > 小弟公司昨天遭受ARP病毒攻擊, 整個網路癱了一段時間, 它更改換 CoreSwitch的ARP Table, 將兩台主要AD主機導到中ARP
> > 木馬的主機上, 造成DNS解析錯誤.無法連網(IP可以通)。
> > 想請教先進,
> > 1.ARP木馬病毒 會因為上網而感染嗎?
> > 2.目前找到中木馬的主機, Trend防毒軟體卻掃不出來, 有什麼解木馬的工具?
> > 3.一般ARP木馬要如何防護?
> > 謝謝.
> >
> > --
> >
> > 您已訂閱「Google 網上論壇」的「CISSPTaiwan」群組，因此我們特別傳送這封郵件通知您。
> > 如要在此群組張貼留言，請傳送電子郵件至 cissp...@googlegroups.com。

> > 如要取消訂閱此群組，請傳送電子郵件至 cissptaiwan...@googlegroups.com<cissptaiwan%2Bunsu...@googlegroups.com>

[gbchang]

謝謝各位先進建議,
先用ARP Antispoofer找找看, 有什麼結果再來回報.

gbchang

On 12月19日, 下午12時39分, Roland <cissptai...@gmail.com> wrote:
> 在課堂上跟大家提出來討論, 有一位之前擔任網管的學員建議, 將重要 server 的 MAC 鎖定, 無法由網路封包篡改, 並開啟
> switch 的ARPsnooping 防護.

> 另可使用免費工具:ARPAntispoofer 偵測arpspoofing 攻擊工具

>
> Roland
>
> Tang Vincent 寫道：
>
>
>
> > 關於ARP攻擊的原理及如何防護在某一期的iThome有相關的報導，
> > 你可以在iThome的網站上看看：http://www.ithome.com.tw/itadm/article.php?c=54461
> > 關於掃毒的部分，如果你的Windows作業系統都有定期更新，你也許可以試看看「惡意程式移除工具」是否可以清除，
> > 執行的方式為在Windows的「執行」對話方塊中輸入「mrt」即可啟動...
>

> > 2009/12/18 gbchang <gbch...@gmail.com>
>
> > > 各位先進,
> > > 小弟公司昨天遭受ARP病毒攻擊, 整個網路癱了一段時間, 它更改換 CoreSwitch的ARPTable, 將兩台主要AD主機導到中ARP

> > > 木馬的主機上, 造成DNS解析錯誤.無法連網(IP可以通)。
> > > 想請教先進,
> > > 1.ARP木馬病毒 會因為上網而感染嗎?
> > > 2.目前找到中木馬的主機, Trend防毒軟體卻掃不出來, 有什麼解木馬的工具?
> > > 3.一般ARP木馬要如何防護?
> > > 謝謝.
>
> > > --
>
> > > 您已訂閱「Google 網上論壇」的「CISSPTaiwan」群組，因此我們特別傳送這封郵件通知您。
> > > 如要在此群組張貼留言，請傳送電子郵件至 cissp...@googlegroups.com。

> > > 如要取消訂閱此群組，請傳送電子郵件至 cissptaiwan...@googlegroups.com<cissptaiwan%2Bunsu...@googlegr-oups.com>

> > > 。
> > > 如需更多選項，請造訪此群組：http://groups.google.com/group/cissptaiwan?hl=zh-TW。
>
> > --

> > Vincent- 隱藏被引用文字 -
>
> - 顯示被引用文字 -

[Jerry.CLC]

有些想法，可以參考看看：
1.Enable DHCP Spoofing
2.Enable ARP Inspection

如果是Cisco 的CoreSwitch應該可以找得到相關的資料。
PS:如果是其他的switch，觀念應該是一樣的；我可以幫忙找Axxxxxx-Lxxxxx的設定

ex:cisco switch configure
(config)#ip dhcp snooping
(config)#ip dhcp snooping vlan 1

int g0/1
description Uplink to Core and DHCP server
switch port mode trunk
ip dhcp snooping trust

----------ARP INSPECTION--------
(config)#ip arp inspection vlan 1

Jerry
=============================================

> > > > 如要取消訂閱此群組，請傳送電子郵件至 cissptaiwan...@googlegroups.com<cissptaiwan%2Bunsubscr...@googlegr-oups.com>

> > > > 。
> > > > 如需更多選項，請造訪此群組：http://groups.google.com/group/cissptaiwan?hl=zh-TW。
>
> > > --
> > > Vincent- 隱藏被引用文字 -
>

> > - 顯示被引用文字 -- 隱藏被引用文字 -
>
> - 顯示被引用文字 -