趋势科技NVWE:对抗ARP病毒完美三部曲

xuange

来源：千龙科技    全文转贴，不代表本人观点！


随着互联网技术的飞速发展，病毒发展可谓日新月异：从最初的文件型病毒只感染计算机文件、到CIH可以破坏计算机硬件、再到冲击波和震荡波病毒已具备网络破坏能力，如今正是ARP病毒当道，危害范围广，破坏强度大。由于其发作的时候会向全网群发伪造的ARP数据包，一台机器中毒，就可能导致整个企业局域网瘫痪，部分用户资料被盗，严重影响了企业网络的正常运行，企业亟需有效的防护方案。  

什么是ARP病毒？ 　　
趋势科技网络安全专家宋浪生介绍，ARP病毒是用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。默认情况下，ARP从缓存中读取IP/MAC条目，缓存中的IP/MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP/MAC条目，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP/MAC条目，造成网络中断或中间人攻击。其表现为局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样，这样用户访问时就会经过攻击主机，从而达到欺骗效果获取资料。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 　　ARP病毒的流行也表明企业内部攻击正在呈上升态势。今天，超过50%的攻击来自于内部网络。远程用户与企业网络相连，安全缺陷存在的个人计算机、笔记本电脑以及移动设备都为网络攻击敞开了大门，从而造成被感染的机器能够在整个企业网络内部大肆传播。为了阻止这些攻击，就必须在设备与企业网络正式连接前，对其安全状态进行全面的检查。 　　

趋势科技网络病毒墙NVWE 对抗ARP病毒完美三部曲 　　
针对ARP病毒的防护，趋势科技推出了网络病毒墙NVWE的最新2.1版本。ARP病毒防护的方法主要表现在保护、定位、处理三个部分：保护是使用IP和MAC地址绑定的方式实现；定位是使用抓包工具进行分析，查看网络中ARP广播包的内容，如出现一个主机向所有人发布其他IP地址的MAC地址都为自己的MAC地址，那么就说明此主机为ARP病毒源。处理是找到攻击源后进行，将此计算机的ARP病毒进程断掉，阻断ARP欺骗包的攻击，然后管理员可对感染病毒主机进行手动处理或获取ARP病毒样本提交给防病毒厂商。 　　趋势科技为了能够更好的解决用户的ARP病毒问题提出了新的解决方案，主要是通过NVWE产品将ARP防护功能部署到所有客户端，进行统一管理，其包括预防、阻止及清除ARP攻击三部分功能。 　　
预防：通过NVWE可以将所有客户端ARP表中的动态地址更改成静态地址，并由NVWE统一进行管理，这样ARP Cache中的MAC地址就不能够被修改，实现防御功能； 　　
阻止：NVWE可以阻止客户端发出的ARP攻击包，并报告给管理员。 　　
清除：定位到某个进程在发送ARP攻击包后，NVWE可以通过内部机制将ARP病毒进程清除掉，从而根本解决ARP病毒问题。 　　趋势科技网络病毒墙NVWE控制对企业网络的访问，确保所有设备，不论是受控设备还是非受控设备，不论是本地设备还是远程设备，都能在建立连接前遵守公司的安全策略。NVWE无需事先预装代理，就可以检查每个设备安全软件的更新状态和系统补丁(Microsoft)，也无需终端用户干预，可以保证对客户端设备的影响降到最低。NVWE在提供网络准入控制的同时，提供网络蠕虫和僵尸攻击防护。由于采用了漏洞签名识别技术，NVWE可以广谱拦截网络威胁的变种，将受感染的网段隔离开来，阻止网络威胁的扩散。 　　
据了解，趋势科技最新版的NVWE在一些用户已经开始应用，防护效果非常明显，解决了困扰用户多年的问题。NVWE2.1对于ARP预防、阻止以及病毒源头定位方面效果尤其显著，从根本上解决了ARP问题，可以说是目前针对ARP病毒的完美解决方案。目前国内一些高端用户在购买了多台NVWE后，因为NVWE2.1强大的ARP防护功能，用户即将再次大批量采购此设备，可见其ARP解决方案得到了用户的高度认可！

水木

版版辛苦了，虽然是转帖但此帖作者简单讲了ARP的原理及如何防范，赞一个

pctool

NVWE 升级到2.1版后(5月份出中文版了，不知道iwsa imsa什么时候有)效果确实不错，不过前提是客户机全面部署agent，当全面部署后效果相当棒。
现在企业信息中心都是跑腿部门，不是强力行政部门，想全面部署想想就有难度

下面是一个真实环境下 arp防御截图

轻微污染

谢谢LZ提供，，比较全面

Fpaopao

学习、学习

mrkan

对ARP攻击的原理讲得简洁明了 收藏了

cs_virus

嘿嘿。2。1防ARP情况，我比你更清楚技术细节。

2。1增强功能 ARP防护
中文版已出

IWSA中文已出 需要刷机 200台以上机器使用 吞吐量大，HTTP FTP效果很不错 没防P2P功能，内网有BT下载会影响IWSA性能。

IMSA太贵 没搞过 嘿嘿

gho

学习了很好

pctool

原帖由 cs_virus 于 2008-7-22 23:41 发表
嘿嘿。2。1防ARP情况，我比你更清楚技术细节。

2。1增强功能 ARP防护
中文版已出

IWSA中文已出 需要刷机 200台以上机器使用 吞吐量大，HTTP FTP效果很不错 没防P2P功能，内网有BT下载会影响IWSA性能。

IMS ...

iwsa可以直接阻止后缀名下载，把bt种子后缀名加进去


另外IntelliTunnel  可以封锁一些软件通讯协议 不过支持的很少

另外防止员工下载电影，可以使用流量限制么，嘿嘿 很黄很暴力的配额限制