随着互联网技术的飞速发展,病毒发展可谓日新月异:从最初的文件型病毒只感染计算机文件、到CIH可以破坏计算机硬件、再到冲击波和震荡波病毒已具备网络破坏能力,如今正是ARP病毒当道,危害范围广,破坏强度大。由于其发作的时候会向全网群发伪造的ARP数据包,一台机器中毒,就可能导致整个企业局域网瘫痪,部分用户资料被盗,严重影响了企业网络的正常运行,企业亟需有效的防护方案。
什么是ARP病毒?
ARP病毒是用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。默认情况下,ARP从缓存中读取IP/MAC条目,缓存中的IP/MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP/MAC条目,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP/MAC条目,造成网络中断或中间人攻击。其表现为局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样,这样用户访问时就会经过攻击主机,从而达到欺骗效果获取资料。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
ARP病毒的流行也表明企业内部攻击正在呈上升态势。今天,超过50%的攻击来自于内部网络。远程用户与企业网络相连,安全缺陷存在的个人计算机、笔记本电脑以及移动设备都为网络攻击敞开了大门,从而造成被感染的机器能够在整个企业网络内部大肆传播。为了阻止这些攻击,就必须在设备与企业网络正式连接前,对其安全状态进行全面的检查。
针对ARP病毒的防护,趋势科技推出了网络防毒墙NVWE的最新2.1版本。ARP病毒防护的方法主要表现在保护、定位、处理三个部分:保护是使用IP和MAC地址绑定的方式实现;定位是使用抓包工具进行分析,查看网络中ARP广播包的内容,如出现一个主机向所有人发布其他IP地址的MAC地址都为自己的MAC地址,那么就说明此主机为ARP病毒源。处理是找到攻击源后进行,将此计算机的ARP病毒进程断掉,阻断ARP欺骗包的攻击,然后管理员可对感染病毒主机进行手动处理或获取ARP病毒样本提交给防病毒厂商。
趋势科技为了能够更好的解决用户的ARP病毒问题提出了新的解决方案,主要是通过NVWE产品将ARP防护功能部署到所有客户端,进行统一管理,其包括预防、阻止及清除ARP攻击三部分功能。
预防:通过NVWE可以将所有客户端ARP表中的动态地址更改成静态地址,并由NVWE统一进行管理,这样ARP Cache中的MAC地址就不能够被修改,实现防御功能;
阻止:NVWE可以阻止客户端发出的ARP攻击包,并报告给管理员。
清除:定位到某个进程在发送ARP攻击包后,NVWE可以通过内部机制将ARP病毒进程清除掉,从而根本解决ARP病毒问题。
趋势科技网络病毒墙NVWE控制对企业网络的访问,确保所有设备,不论是受控设备还是非受控设备,不论是本地设备还是远程设备,都能在建立连接前遵守公司的安全策略。NVWE无需事先预装代理,就可以检查每个设备安全软件的更新状态和系统补丁(Microsoft),也无需终端用户干预,可以保证对客户端设备的影响降到最低。NVWE在提供网络准入控制的同时,提供网络蠕虫和僵尸攻击防护。由于采用了漏洞签名识别技术,NVWE可以广谱拦截网络威胁的变种,将受感染的网段隔离开来,阻止网络威胁的扩散。
据了解,趋势科技最新版的NVWE在一些用户已经开始应用,防护效果非常明显,解决了困扰用户多年的问题。NVWE2.1对于ARP预防、阻止以及病毒源头定位方面效果尤其显著,从根本上解决了ARP问题,可以说是目前针对ARP病毒的完美解决方案。目前国内一些高端用户在购买了多台NVWE后,因为NVWE2.1强大的ARP防护功能,用户即将再次大批量采购此设备,可见其ARP解决方案得到了用户的高度认可!