求ARP病毒解决方案
我公司近段时间网速特别的慢,有时还全网偶尔掉线,不过过个两三分钟又会恢复,掉线是查看是内网有问题,因为外网DMZ服务器对外的服务是正常,所以怀懝网络有电脑中了ARP病毒。现在我在三层的交换机连防火墙上的那个端口做了镜像,可以进行数据抓包分析(软件是科来),可是我网络是出多个VLAN网段组成的,好像对多网段ARP毒病(如ARP扫描、ARP欺骗)不灵?请问有什么方法可以在跨多网段上同时抓取ARP的包,找出ARP病毒源?(在每个VLAN上都布署数据分析软件太麻烦了)网络环境:核心层和汇聚层设备都是CISCO的,全网大约有200台PC,组成了10个VLAN,在DMZ区有10多台服务器对外24小时提供服务。在三层核心交换机上做的各VLAN路由 碰到一个公司是80台电脑,不过在同一网段,但没有DHCP,没有域,出现了ARP病毒,当时他们工厂的电脑是不能停的,最后没办法,就用了最笨的办法:ARP绑定来解决的。绑定几台重要的机器,比如:文件服务器,财务服务器等与网关绑定,最后在建立个BAT文件,在每台客户机上都运行一个,并且放到启动里边。。这样问题就解决了。。 这个方法是可行,不过电脑多了,再说全部人也不可能都让你去运行这个BAT文件啊 可以通过域来操作呀。。 公司现在不是域结构,而是工作组结构 [url]http://netsecurity.51cto.com/art/200609/31754.htm[/url]
请参考这里一台一台来解决吧。。:( 这样其实也挺快的。。80台机器用了一个多小时我这边就可以了。。
你就再多花点时间就行了。。就是累点。。 ARP防火墙有没试过? 就是,装个带ARP防御功能的防火墙试试,瑞星防火墙就有这个功能的。装好开启就OK。 ARP病毒要想完全根治,除非部署全局安全策略,否则很难根治。但是这种方案费用非常的高。但是要想在ARP病毒发作之后马上找出病毒源,则非常简单,但是前提必须要做好网络资料的备案。网络资料包括从核心层设备到接入层设备到用户连接的二层交换机的连接情况,同时二层交换机还必须要可TELNET的。ARP病毒有很多种,但是从欺骗手段来看只有半双工欺骗和全双工欺骗2种,一种是只欺骗用户机或网关交换机,另一种是两者同时欺骗。但是无论哪种在网关交换机上都有日志显示。欺骗用户时,会在网关交换机的日志里面显示一个MAC地址占用网关IP的提示,这时用户的上网不会中断,但是所有被欺骗的用户的流量都会经过病毒机器送达到网关交换机,达到窃取信息的目的,表象就是上网速度奇慢,但是还能上。欺骗网关时,会在网关交换机的日志看到2个MAC地址来回不停的争夺一个IP地址,而ARP缓存表中则能看到多个IP地址同时被一个MAC地址占用,这个MAC地址就肯定是病毒机器的MAC地址。根据这个MAC地址的下联端口,再登陆下联端口的交换机,通过查找该MAC上联端口的方法确定其下一层连接,这样一层层追查,直到确定病毒机器的上联二层交换机的端口,把它远程关闭就可以了。至于基本防护,则客户机器可以安装安全卫士360,启用它自带的ARP防护墙。交换机端进行MAC绑定,也能预防大部分的ARP病毒的攻击。 楼上的回答得很全,我现在基本上就是这样操作的,先谢了 楼上的回答得很全,我现在基本上就是这样操作的,先谢了
页:
[1]