总结ARP病毒防治和802.1X协议配置的思路

2024年2月23日发(作者：)

总结ARP病毒防治和802.1X协议配置的思路

一：ARP病毒防治

ARP攻击简单分为两类：一种是ARP欺骗攻击；另一种是ARP泛洪攻击，及ARP扫描攻击。二者都是通过构造非法的ARP报文修改报文中的源地址与源MAC地址，不同的是前者用自己的MAC地址进行欺骗，后者则大量的发送虚假的ARP报文，拥塞网路。针对两种ARP 攻击方式的特点，解决方法不同。

1、破坏你的ARP双向绑定批出理

2、中毒机器改变成代理服务器又叫代理路由

3、改变路由的网关MAC地址和internat网关的MAC地址一样

故障现象：由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。

解决方法；

自己手动清除病毒： 1、立即升级操作系统中的防病毒软件和防火墙，同时打开“实时监控”功能，实时地拦截来自局域网络上的各种ARP病毒变种。

2、立即根据自己的操作系统版本下载微软MS06-014和MS07-017两个系统漏洞补丁程序，将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中，防止病毒变种的感染和传播。

3、检查是否已经中毒：

a. 在设备管理器中, 单击“查看—显示隐藏的设备”

b. 在设备树结构中,打开“非即插即用设备”

c. 查找是否存在：“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”，如果存在，就表明已经中毒。

4、对没有中毒机器，可以下载软件Anti ARP Sniffer，填入网关，启用自动防护，保护自己的ip地址以及网关地址，保证正常上网。

5、对已经中毒电脑可以用以下方法手动清除病毒：

(1)删除:%windows% (有些电脑可能没有)

(2)

a. 在设备管理器中, 单击“查看—显示隐藏的设备”

b. 在设备树结构中,打开“非即插即用设备”

c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”

d. 右点击，”卸载”

e. 重启系统

(3)删除:%windows%

(4)删除%windows%(有些电脑可能没有)

(5)删除注册表服务项:开始〉运行〉regedit〉打开，进入注册表，全注册表搜索，把文件所在文件夹Npf整个删除.(应该有2个).至此arp病毒清除.

(6)根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改winsocks,导致不能打开网页,不能打开netmeeting等,为此还需要做下面几步工作:

a.用杀毒软件清理恶意软件,木马.

b.检查并删除下列文件并相关启动项:

1)%windows%(一般杀毒软件会隔离)

2)%windows%(一般杀毒软件会隔离)

3)%windows%(一般杀毒软件会隔离)

4)%windows%

3)%windows%

c.重置winsocks(可以用软件修复,下面介绍一个比较简单的办法):

开始>运行>CMD,进入命令提示符,输入cd..回车,一直退出至c盘根目录,在C:>下输入netsh winsock reset回车,然后按提示重启计算机。

ARP病毒电脑定位方法

1 命令行法

这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。上文已经说过，当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP －a，需要在cmd命令提示行下输入。输入后的返回信息如下：

Internet Address Physical Address Type

192.168.0.1 00-50-56-e6-49-56 dynamic

这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是中毒电脑的MAC地址！这时，再根据网络正常时，全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。由此可见，在网络正常的时候，保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。

2 工具软件法

现在网上有很多ARP病毒定位工具，其中做得较好的是Anti ARP Sniffer（现在已更名为ARP防火墙），下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。

首先打开Anti ARP Sniffer 软件，输入网关的IP地址之后，再点击红色框内的“枚举MAC”按钮，即可获得正确网关的MAC地址.

接着点击“自动保护”按钮，即可保护当前网卡与网关的正常通信。

当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。

这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。

3 Sniffer 抓包嗅探法

当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal 这样的抓包工具就能派上用场。

以上三种方法有时需要结合使用，互相印证，这样可以快速准确的将ARP中毒电脑定位出来。

编辑本段ARP病毒电脑查杀方法

较老类型的ARP病毒运行特征比较隐蔽，电脑中毒时并无明显异常现象，这类病毒运行时自身无进程，通过注入到进程来实现隐藏自身。其注册表中的启动项也很特殊，并非常规的Run键值加载，也不是服务加载，而是通过注册表的AppInit_DLLs 键值加载实现开机自启动的，这一点比较隐蔽，因为正常的系统AppInit_DLLs键值是空的。也正由于这个特点，利用Autoruns这个工具软件就可以快速扫描出病毒文件体。

ARP病毒文件主体，该文件虽然扩展名为log，看似很像是系统日志文件，但其实，它是一个不折不扣的病毒！除了Log形式的病毒文件，还有一些以Bmp作为扩展名的病毒文件，同样，这些病毒文件也不是图片文件，而是EXE格式的可执行文件，在同目录下还有同名的dll文件，这些都是病毒体。

%WinDir% KB*.log

或者

%WinDir% *.bmp

%WinDir%同名.dll

如何区别正常的log日志文件，bmp图片文件和病毒文件呢？其实很简单，用记事本程序打开该文件，查看其文件头是否有“MZ”的标记即可，找到这些文件后，可以先清除注册表中的相关键值，然后重启系统到安全模式下，手动删除文件即可。

对于最近多发的，修改WEB请求页面的新型ARP病毒，则改变了病毒文件的表现形式，现对简单，利用系统进程查看和启动项查看注册表的Run键值，可以明显发现病毒的文件，另外，利用KV 的未知病毒扫描程序进行检测，也是一个好办法。

局域网ARP病毒通用的处理流程

[1][2][3]1.先保证网络正常运行

方法一：编辑个***.bat文件内容如下：

**.**.**.**（网关ip）****

**

**

**

**（

网关mac地址）

end

让网络用户点击就可以了!

2找到感染ARP病毒的机器。

a：在电脑上ping一下网关的IP地址，然后使用ARP－a的命令看得到的网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址对应的电脑。

b：使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。

c：使用mac地址扫描工具，nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。

预防措施：

1，及时升级客户端的操作系统和应用程式补丁；

2，安装和更新杀毒软件。

4，如果网络规模较少，尽量使用手动指定IP设置，而不是使用DHCP来分配IP地址。

5，如果交换机支持，在交换机上绑定MAC地址与IP地址。

二、IEEE 802.1x配置思路

IEEE 802.1x具有以下主要优点：简洁高效、容易实现、安全可靠、应用灵活、易于运营。

恳请者

恳请者是最终用户所扮演的角色，一般是个人PC。它请求对网络服务的访问，并对认证者的请求报文进行应答。恳请者必须运行符合IEEE 802.1x 客户端标准的软件

认证者

认证者一般为交换机等接入设备。该设备的职责是根据客户端当前的认证状态控制其与网络的连接状态。在客户端与服务器之间，该设备扮演着中介者的角色：从客户端要求用户名，核实从服务器端的认证信息，并且转发给客户端。因此，设备除了扮演IEEE802.1x 的认证者的角色，还扮演RADIUS Client 角色，因此我们把设备称作network access server(NAS)，它要负责把从客户端收到的回应封装到RADIUS 格式的报文并转发给RADIUS Server，同时它要把从RADIUS Server

收到的信息解释出来并转发给客户端。

认证服务器

认证服务器通常为RADIUS 服务器，认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。锐捷网络科技公司实现802.1x 的设备完全兼容标准的Radius Server，如MicroSoft win2000 Server 自带的Radius Server 及Linux 下的Free Radius Server。

802.1X配置注意事项：



只有支持802.1x 的产品，才能进行以下设置。



802.1x 既可以在二层下又可以在三层下的设备运行。



要先设置认证服务器IP 地址，radius－server认证方式才可以正常工作。

1x功能，所有的端口都会将1x协议报文送到

交换机只要有一个端口打开了cpu。



如果端口DOT1X开启并且认证的用户数大于端口安全的最大用户数，此时无法开启端口安全。

DOT1X同时开启时，如果安全地址老化，则DOT1X对应的用户必须重新认证才可以继续通信。



端口安全和

静态端口安全地址不需要认证即可上网，如果存在授权，则必须同时符合授权绑定才可以上网。



基于端口可迁移认证模式和端口安全共用时，已经学习到的地址同时成为安全地址，不能再迁移。



基于端口可迁移认证模式和端口安全共用时，如果认证地址被端口安全老化则端口必须重新认证才可以通信。



基于端口可迁移认证模式认证通过后，开启端口安全，则端口必须重新认证才可以通信。



存在IP+MAC绑定时，不能进行基于端口和基于用户认证模式的切换。

配置认证服务器

——RADIUS服务器

——DHCP服务器

配置认证系统

——配置flex24

配置客户端

——客户端的安装和使用

Troubleshooting排错

——事件查看器

——显示配置信息show

——交换机上的monitor信息

ISA日志计费软件