企业员工网络安全意识强弱不一、企业网管网络管理能力强弱有别、企业部署的网管软件质量参差不齐以及病毒破坏威力强弱不同等都是将企业网络信息暴露于不安全境地的因素。在诸多病毒中,ARP病毒绝对是让企业较为头疼的一个。虽然各种ARP病毒防火墙不断涌现,但始终没有很好地决出企业的后顾之忧。瑞星防毒墙的诞生为企业带来了顺利的曙光。
ARP病毒到底是怎么样的一种病毒呢?它又会带给企业哪些头疼的问题呢?如何有效解决ARP病毒对企业网络安全带来的危害?本文通过详细分析,通过建立多层次病毒防护体系,并利用瑞星防毒墙,来阻断ARP病毒在企业内的传播。
一、什么是ARP病毒
在解释什么是ARP病毒前,我们需要知道什么是ARP协议(address resolution protocol)。ARP协议中文名叫地址解析协议,它是TCP/IP协议组的一个协议,用于把网络地址翻译成物理地址(又称MAC地址)。
包括企业网管在内的许多人都认为ARP病毒是一种病毒的名称,其实不然。ARP病毒是专门利用ARP协议的漏洞进行传播的一类病毒的总称。与许多病毒一样,ARP病毒也是一种入侵电脑的木马病毒,就如同某些专门窃取用户电脑信息的监控软件一样,ARP病毒对用户的网络信息安全威胁很大。
二、中ARP病毒之后的症状
用户电脑中了ARP病毒以后,会出现以下常见症状:网络时快时慢,极其不稳定;局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常,之后仍然不断发生;终端反复感染病毒,即使重做系统,仍会感染病毒;网上银行、游戏及QQ账号等出现丢失情况。
三、ARP病毒传播方式
ARP病毒常见的传播方式有以下几种:
1、电脑访问互联网,访问到恶意网址。之后病毒利用电脑的网络安全漏洞,自动下载并运行。具有ARP欺骗行为的病毒也可以利用此种方式被传播,病毒名称一般为Hack.ARPCheat。
2、被ARP病毒感染的电脑会自动发出ARP攻击数据包,劫持同网段中其它电脑与网关的通讯记录,并在访问数据中嵌入恶意网址。其余电脑将会受到恶意网站的攻击,一旦攻击成功,木马病毒会被植入电脑并感染。
3、在已经有电脑感染ARP病毒后,会在劫持的数据中嵌入恶意代码及病毒体文件下载链接,当攻击成功后,病毒体会直接被植入电脑并感染。
四、ARP病毒防护解决方案
ARP病毒传播的核心方式是从互联网下载病毒体文件或利用恶意网址,以及利用U盘等媒介进行传播。
电脑感染ARP病毒后,如果反复查杀出新的病毒,就说明病毒体正不断从网络下载。一般企业部署了网络版杀毒软件,对于U盘传播的病毒有防护能力,但仅局限于对桌面操作系统的保护,无法从网络层面过滤病毒。而网关防毒技术——防毒墙的推出恰恰是从网络传输层面过滤病毒,防御病毒于企业网络之外,可以更好地解决ARP病毒从互联网传播的难题。
瑞星防毒墙助企业建立两层次病毒防护体系
第一层次、在终端操作系统部署杀毒软件,防护直接接触操作系统的病毒传入终端,如通过U盘传播;
第二层次、在网关部署防毒墙,使用透明桥模式即可,从网络传输层过滤病毒,主动防御病毒于企业网络之外。病毒在网络传输过程中不会是运行的状态,直接会被阻断传输,也就不会存在病毒过滤失败问题,所以网关防毒有得天独厚的优势。
五、对付ARP病毒用防毒墙
防毒墙具有病毒过滤、恶意网址过滤两大亮点功能,想利用这两种方式传播进入企业局域网的ARP病毒将会被直接拦截在企业网络之外。
对于企业局域网中已经存在的ARP病毒,防毒墙可以控制ARP病毒在企业内部的传播。
第一步、控制传播源。企业内部计算机感染ARP病毒后,部署防毒墙不仅可以阻断病毒体不断从互联网下载,还可以利用防毒墙的日志系统定位感染病毒的终端。当未知病毒出现时,防毒墙仍可以利用控制指定文件类型的传输的功能控制病毒体传播。
第二步、消除局域网ARP欺骗影响。病毒体下载源控制住了,利用防毒墙的MAC地址管理功能可定位具有ARP欺骗行为的终端。利用交换机管理功能就可以对终端进行局域网访问控制,此时企业网络其他的终端仍可以正常访问网络。
第三步、处置感染病毒的终端。网络恢复正常了,接下来只需要对存在问题的终端进行处理。利用杀毒软件对终端系统进行全面杀毒,病毒被清除后再接入网络。
|