Window应急响应(五):ARP病毒

0x00 前言ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见。发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至…

0x00序言 ARP病毒感染并不是某类病毒感染的名字,只是这种散播ARP协议书系统漏洞的病毒感染的通常专业术语。现阶段在LAN中更普遍。在进攻时,仿冒的ARP数据文件被发送至全部互联网,比较严重干挠了全部互联网的一切正常运作,而且毁坏乃至比某些蠕虫更比较严重。 0x01紧急状况 每天早晨,我的好朋友发来了1个手机微信,说192.168.64.76的Cpu如今十分负荷。我还在日志分析服务平台上查验了这台网络服务器的系统日志。总流量在某一時间点飙涨,并发觉很多端口号137. udp协议进攻

0x02剖析全过程 登陆网络服务器,最先查验端口号137相匹配的系统进程。系统进程号为4的系统进程为SYSTEM,因此应用杀毒软件开展全方位杀毒。 

卡巴斯基绿色版:.com://devbuilds.kaspersky-labs.Com/devbuilds/KVRT/latest/full/KVRT.exe 卡巴斯基,36o反病毒,迈克菲沒有結果,手动式旋转起动新项目,计划任务,服务所有,沒有出现异常。 IpTool捕捉专用工具已在本地下载。过虑标准:协议书udp协议 端口号137

可以清晰地见到192.168.64.76上传的数据文件出现异常,192.168.64.76数据文件的目地详细地址自始至终在转变,目地Mac不会改变,该Mac详细地址是网关ip的Mac。 端口号137的udp包是netbios的广播节目包。据推断,它将会是这种ARP病毒感染,并遭受当地ARP的进攻。 采取有效:根据某些防护软件保持内网ARP检验和防御力作用。 Server Security Dog Windows版免费下载:.com://free.safedog.Cn/server_safedog.html语言 网络防火墙 - 进攻安全防护 - ARP服务器防火墙:

尽管阻拦了某些ARP恳求,但总流量出入口依然有137个UDF数据文件。 它好像依然是1个方法,关闭端口137:停用TCP/iP上的NetBIOS。 1),停用网络服务器服务项目

)停用TCP/iP上的NetBIOS 置进行后,不用重启只能起效。 137号海港已关掉。观查过段时间后,外界进行的恳求消退,Cpu和服务器带宽修复。 0x03保障措施 内网安全性维护依然是这项十分严峻的每日任务。网络信息安全对策和本人/网络服务器病毒防护体制可以在必须水平上避免病毒入侵。除此之外,不论是个人计算机還是网络服务器,一直必须做某些基础的安全性维护: 1,关闭端口145/137/136/139/445 2,升级漏洞补丁 喜爱这篇的人也喜爱它。 ····· 

对话框应急没有响应(a):ftp客户端暴力破解

 对话框应急没有响应(2):蠕虫

对话框应急没有响应(3):勒索软件

对话框应急响应(四):发掘病毒感染