【51CTO.com綜合報道】隨著技術的發(fā)展，病毒也在不斷進步，信息化辦公企業(yè)正在與病毒制作者進行實時的技術對抗。眾多病毒中，比較另企業(yè)頭疼的病毒就是ARP病毒。ARP病毒到底是怎么樣的一種病毒呢？它又會帶給企業(yè)哪些頭疼的問題呢？如何有效解決ARP病毒對企業(yè)網(wǎng)絡安全帶來的危害？本文通過詳細分析，通過建立多層次病毒防護體系，并利用瑞星防毒墻，來阻斷ARP病毒在企業(yè)內(nèi)的傳播。

ARP病毒介紹

實際上，ARP病毒并不是某一種病毒的名稱，而是對利用ARP協(xié)議的漏洞進行傳播的一類病毒的總稱。ARP病毒是一種入侵電腦的木馬病毒，對電腦用戶私密信息的威脅很大。ARP協(xié)議是TCP/IP協(xié)議組的一個協(xié)議，用于進行把網(wǎng)絡地址翻譯成物理地址（又稱MAC地址）。通常此類攻擊的手段有兩種——路由欺騙和網(wǎng)關欺騙。

ARP病毒發(fā)作一般有以下幾種現(xiàn)象：

網(wǎng)絡時快時慢，極其不穩(wěn)定；

局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計算機或網(wǎng)絡設備后恢復正常，之后仍然不斷發(fā)生；

終端反復感染病毒，即使重做系統(tǒng)后，仍會感染病毒；

網(wǎng)上銀行、游戲及QQ賬號等出現(xiàn)丟失情況。

ARP病毒傳播方式

ARP病毒常見的傳播方式有以下幾種：

1. 終端訪問互聯(lián)網(wǎng)，訪問到惡意網(wǎng)址，利用終端安全漏洞，病毒體被下載到終端病毒運行。具有ARP欺騙行為的病毒也可以利用此種方式被傳播，病毒名稱一般為Hack.ARPCheat。

2. 當已經(jīng)有終端感染ARP病毒后，會自動發(fā)出ARP攻擊數(shù)據(jù)包，把所有同網(wǎng)段其他終端與網(wǎng)關的訪問數(shù)據(jù)劫持向自己，并在訪問數(shù)據(jù)中嵌入惡意網(wǎng)址，常見是HTTP數(shù)據(jù)。終端將會受到惡意網(wǎng)站的攻擊，一旦攻擊成功，木馬病毒會被植入終端并感染。

3. 在已經(jīng)有終端感染ARP病毒后，會在劫持的數(shù)據(jù)中嵌入惡意代碼及病毒體文件下載鏈接，當攻擊成功后，病毒體會直接被植入終端并感染。

圖1：ARP病毒傳播示意

ARP病毒防護解決方案

針對以上ARP病毒傳播行為分析可以看出，ARP病毒傳播的核心方式是從互聯(lián)網(wǎng)下載病毒體文件或利用惡意網(wǎng)址，以及利用U盤等媒介進行傳播。

感染ARP病毒后，如果終端反復查殺出新的病毒，就說明病毒體正不斷從互聯(lián)網(wǎng)被下載的情況存在。一般企業(yè)部署了網(wǎng)絡版殺毒軟件，對于U盤傳播的病毒有防護能力，但僅局限于對桌面操作系統(tǒng)的保護，無法從網(wǎng)絡層面過濾病毒。而網(wǎng)關防毒技術——防毒墻的推出恰恰是從網(wǎng)絡傳輸層面過濾病毒，防御病毒于企業(yè)網(wǎng)絡之外，可以更好地解決ARP病毒從互聯(lián)網(wǎng)傳播的難題。

圖2：瑞星防毒墻可以有效地保護企業(yè)網(wǎng)絡免遭ARP病毒的襲擊

建立多層次病毒防護體系

第一層次，終端操作系統(tǒng)部署殺毒軟件，防護直接接觸操作系統(tǒng)的病毒傳入終端，如通過U盤傳播；

第二層次，在網(wǎng)關部署防毒墻，使用透明橋模式即可，從網(wǎng)絡傳輸層過濾病毒，主動防御病毒于企業(yè)網(wǎng)絡之外。病毒在網(wǎng)絡傳輸過程中不會是運行的狀態(tài)，直接會被阻斷傳輸，也就不會存在病毒過濾失敗問題，所以網(wǎng)關防毒有得天獨厚的優(yōu)勢。

防毒墻在ARP病毒防護中的應用

防毒墻可以阻斷從互聯(lián)網(wǎng)傳入企業(yè)局域網(wǎng)的ARP病毒

防毒墻具有病毒過濾、惡意網(wǎng)址過濾兩大亮點功能，想利用這兩種方式傳播進入企業(yè)局域網(wǎng)的ARP病毒將會被直接攔截在企業(yè)網(wǎng)絡之外。

瑞星防毒墻具有第八代反病毒引擎技術，可以有效過濾各種加殼的木馬等病毒文件。此外，瑞星防毒墻還無縫共享瑞星1.5億“云安全”用戶的成果，可以及時獲取惡意網(wǎng)址信息，及時阻斷病毒的傳播。

對于企業(yè)局域網(wǎng)中已經(jīng)存在的ARP病毒，防毒墻可以控制ARP病毒在企業(yè)內(nèi)部的傳播

第一步，控制傳播源：企業(yè)內(nèi)部計算機感染ARP病毒后，部署防毒墻不僅可以阻斷病毒體不斷從互聯(lián)網(wǎng)下載，還可以利用防毒墻的日志系統(tǒng)定位感染病毒的終端。當未知病毒出現(xiàn)時，防毒墻仍可以可以利用控制指定文件類型的傳輸?shù)墓δ芸刂撇《倔w傳播。

第二步，消除局域網(wǎng)ARP欺騙影響：病毒體下載源控制住了，利用防毒墻的MAC地址管理功能可定位具有ARP欺騙行為的終端。利用交換機管理功能就可以對終端進行局域網(wǎng)訪問控制，此時企業(yè)網(wǎng)絡其他的終端仍可以正常訪問網(wǎng)絡。

第三步，處置感染病毒的終端：網(wǎng)絡恢復正常了，接下來只需要對存在問題的終端進行處理。利用殺毒軟件對終端系統(tǒng)進行全面殺毒，病毒被清除后再接入網(wǎng)絡。