【51CTO.com综合报道】随着技术的发展,病毒也在不断进步,信息化办公企业正在与病毒制作者进行实时的技术对抗。众多病毒中,比较另企业头疼的病毒就是ARP病毒。ARP病毒到底是怎么样的一种病毒呢?它又会带给企业哪些头疼的问题呢?如何有效解决ARP病毒对企业网络安全带来的危害?本文通过详细分析,通过建立多层次病毒防护体系,并利用瑞星防毒墙,来阻断ARP病毒在企业内的传播。
ARP病毒介绍
实际上,ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP病毒是一种入侵电脑的木马病毒,对电脑用户私密信息的威胁很大。ARP协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种——路由欺骗和网关欺骗。
ARP病毒发作一般有以下几种现象:
网络时快时慢,极其不稳定;
局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常,之后仍然不断发生;
终端反复感染病毒,即使重做系统后,仍会感染病毒;
网上银行、游戏及QQ账号等出现丢失情况。
ARP病毒传播方式
ARP病毒常见的传播方式有以下几种:
1. 终端访问互联网,访问到恶意网址,利用终端安全漏洞,病毒体被下载到终端病毒运行。具有ARP欺骗行为的病毒也可以利用此种方式被传播,病毒名称一般为Hack.ARPCheat。
2. 当已经有终端感染ARP病毒后,会自动发出ARP攻击数据包,把所有同网段其他终端与网关的访问数据劫持向自己,并在访问数据中嵌入恶意网址,常见是HTTP数据。终端将会受到恶意网站的攻击,一旦攻击成功,木马病毒会被植入终端并感染。
3. 在已经有终端感染ARP病毒后,会在劫持的数据中嵌入恶意代码及病毒体文件下载链接,当攻击成功后,病毒体会直接被植入终端并感染。
图1:ARP病毒传播示意
ARP病毒防护解决方案
针对以上ARP病毒传播行为分析可以看出,ARP病毒传播的核心方式是从互联网下载病毒体文件或利用恶意网址,以及利用U盘等媒介进行传播。
感染ARP病毒后,如果终端反复查杀出新的病毒,就说明病毒体正不断从互联网被下载的情况存在。一般企业部署了网络版杀毒软件,对于U盘传播的病毒有防护能力,但仅局限于对桌面操作系统的保护,无法从网络层面过滤病毒。而网关防毒技术——防毒墙的推出恰恰是从网络传输层面过滤病毒,防御病毒于企业网络之外,可以更好地解决ARP病毒从互联网传播的难题。
图2:瑞星防毒墙可以有效地保护企业网络免遭ARP病毒的袭击
建立多层次病毒防护体系
第一层次,终端操作系统部署杀毒软件,防护直接接触操作系统的病毒传入终端,如通过U盘传播;
第二层次,在网关部署防毒墙,使用透明桥模式即可,从网络传输层过滤病毒,主动防御病毒于企业网络之外。病毒在网络传输过程中不会是运行的状态,直接会被阻断传输,也就不会存在病毒过滤失败问题,所以网关防毒有得天独厚的优势。
防毒墙在ARP病毒防护中的应用
防毒墙可以阻断从互联网传入企业局域网的ARP病毒
防毒墙具有病毒过滤、恶意网址过滤两大亮点功能,想利用这两种方式传播进入企业局域网的ARP病毒将会被直接拦截在企业网络之外。
瑞星防毒墙具有第八代反病毒引擎技术,可以有效过滤各种加壳的木马等病毒文件。此外,瑞星防毒墙还无缝共享瑞星1.5亿“云安全”用户的成果,可以及时获取恶意网址信息,及时阻断病毒的传播。
对于企业局域网中已经存在的ARP病毒,防毒墙可以控制ARP病毒在企业内部的传播
第一步,控制传播源:企业内部计算机感染ARP病毒后,部署防毒墙不仅可以阻断病毒体不断从互联网下载,还可以利用防毒墙的日志系统定位感染病毒的终端。当未知病毒出现时,防毒墙仍可以可以利用控制指定文件类型的传输的功能控制病毒体传播。
第二步,消除局域网ARP欺骗影响:病毒体下载源控制住了,利用防毒墙的MAC地址管理功能可定位具有ARP欺骗行为的终端。利用交换机管理功能就可以对终端进行局域网访问控制,此时企业网络其他的终端仍可以正常访问网络。
第三步,处置感染病毒的终端:网络恢复正常了,接下来只需要对存在问题的终端进行处理。利用杀毒软件对终端系统进行全面杀毒,病毒被清除后再接入网络。