隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，病毒發(fā)展可謂日新月異：從最初的文件型病毒只感染計(jì)算機(jī)文件、到CIH可以破壞計(jì)算機(jī)硬件、再到?jīng)_擊波和震蕩波病毒已具備網(wǎng)絡(luò)破壞能力，如今正是ARP病毒當(dāng)?shù)溃：Ψ秶鷱V，破壞強(qiáng)度大。由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)群發(fā)偽造的ARP數(shù)據(jù)包，一臺(tái)機(jī)器中毒，就可能導(dǎo)致整個(gè)企業(yè)局域網(wǎng)癱瘓，部分用戶資料被盜，嚴(yán)重影響了企業(yè)網(wǎng)絡(luò)的正常運(yùn)行，企業(yè)亟需有效的防護(hù)方案。

什么是ARP病毒？

ARP病毒是用偽造源MAC地址發(fā)送ARP響應(yīng)包，對(duì)ARP高速緩存機(jī)制的攻擊，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“man in the middle” 進(jìn)行ARP重定向和嗅探攻擊。默認(rèn)情況下，ARP從緩存中讀取IP/MAC條目，緩存中的IP/MAC條目是根據(jù)ARP響應(yīng)包動(dòng)態(tài)變化的。因此，只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)，即會(huì)更新ARP高速緩存中的IP/MAC條目，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP/MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。其表現(xiàn)為局域網(wǎng)所有主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址（即所有信息的MAC New地址都一致為病毒主機(jī)的MAC地址），同時(shí)在路由器的“用戶統(tǒng)計(jì)”中看到所有用戶的MAC地址信息都一樣，這樣用戶訪問時(shí)就會(huì)經(jīng)過(guò)攻擊主機(jī)，從而達(dá)到欺騙效果獲取資料。當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機(jī)就可以盜號(hào)了。

ARP病毒的流行也表明企業(yè)內(nèi)部攻擊正在呈上升態(tài)勢(shì)。今天，超過(guò)50%的攻擊來(lái)自于內(nèi)部網(wǎng)絡(luò)。遠(yuǎn)程用戶與企業(yè)網(wǎng)絡(luò)相連，安全缺陷存在的個(gè)人計(jì)算機(jī)、筆記本電腦以及移動(dòng)設(shè)備都為網(wǎng)絡(luò)攻擊敞開了大門，從而造成被感染的機(jī)器能夠在整個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)部大肆傳播。為了阻止這些攻擊，就必須在設(shè)備與企業(yè)網(wǎng)絡(luò)正式連接前，對(duì)其安全狀態(tài)進(jìn)行全面的檢查。

針對(duì)ARP病毒的防護(hù)，趨勢(shì)科技推出了網(wǎng)絡(luò)防毒墻NVWE的最新2.1版本。ARP病毒防護(hù)的方法主要表現(xiàn)在保護(hù)、定位、處理三個(gè)部分：保護(hù)是使用IP和MAC地址綁定的方式實(shí)現(xiàn)；定位是使用抓包工具進(jìn)行分析，查看網(wǎng)絡(luò)中ARP廣播包的內(nèi)容，如出現(xiàn)一個(gè)主機(jī)向所有人發(fā)布其他IP地址的MAC地址都為自己的MAC地址，那么就說(shuō)明此主機(jī)為ARP病毒源。處理是找到攻擊源后進(jìn)行，將此計(jì)算機(jī)的ARP病毒進(jìn)程斷掉，阻斷ARP欺騙包的攻擊，然后管理員可對(duì)感染病毒主機(jī)進(jìn)行手動(dòng)處理或獲取ARP病毒樣本提交給防病毒廠商。

趨勢(shì)科技為了能夠更好的解決用戶的ARP病毒問題提出了新的解決方案，主要是通過(guò)NVWE產(chǎn)品將ARP防護(hù)功能部署到所有客戶端，進(jìn)行統(tǒng)一管理，其包括預(yù)防、阻止及清除ARP攻擊三部分功能。

預(yù)防：通過(guò)NVWE可以將所有客戶端ARP表中的動(dòng)態(tài)地址更改成靜態(tài)地址，并由NVWE統(tǒng)一進(jìn)行管理，這樣ARP Cache中的MAC地址就不能夠被修改，實(shí)現(xiàn)防御功能；

阻止：NVWE可以阻止客戶端發(fā)出的ARP攻擊包，并報(bào)告給管理員。

清除：定位到某個(gè)進(jìn)程在發(fā)送ARP攻擊包后，NVWE可以通過(guò)內(nèi)部機(jī)制將ARP病毒進(jìn)程清除掉，從而根本解決ARP病毒問題。

趨勢(shì)科技網(wǎng)絡(luò)病毒墻NVWE控制對(duì)企業(yè)網(wǎng)絡(luò)的訪問，確保所有設(shè)備，不論是受控設(shè)備還是非受控設(shè)備，不論是本地設(shè)備還是遠(yuǎn)程設(shè)備，都能在建立連接前遵守公司的安全策略。NVWE無(wú)需事先預(yù)裝代理，就可以檢查每個(gè)設(shè)備安全軟件的更新狀態(tài)和系統(tǒng)補(bǔ)丁(Microsoft)，也無(wú)需終端用戶干預(yù)，可以保證對(duì)客戶端設(shè)備的影響降到最低。NVWE在提供網(wǎng)絡(luò)準(zhǔn)入控制的同時(shí)，提供網(wǎng)絡(luò)蠕蟲和僵尸攻擊防護(hù)。由于采用了漏洞簽名識(shí)別技術(shù)，NVWE可以廣譜攔截網(wǎng)絡(luò)威脅的變種，將受感染的網(wǎng)段隔離開來(lái)，阻止網(wǎng)絡(luò)威脅的擴(kuò)散。

據(jù)了解，趨勢(shì)科技最新版的NVWE在一些用戶已經(jīng)開始應(yīng)用，防護(hù)效果非常明顯，解決了困擾用戶多年的問題。NVWE2.1對(duì)于ARP預(yù)防、阻止以及病毒源頭定位方面效果尤其顯著，從根本上解決了ARP問題，可以說(shuō)是目前針對(duì)ARP病毒的完美解決方案。目前國(guó)內(nèi)一些高端用戶在購(gòu)買了多臺(tái)NVWE后，因?yàn)镹VWE2.1強(qiáng)大的ARP防護(hù)功能，用戶即將再次大批量采購(gòu)此設(shè)備，可見其ARP解決方案得到了用戶的高度認(rèn)可！