您的位置:安全频道->ARP病毒肆虐 大型企业亟待全面解决方案
ARP病毒肆虐 大型企业亟待全面解决方案2008-05-27 来自:sailor33 [收藏到我的网摘]
推荐人评论
由于其发作的时候会向全网群发伪造的ARP数据包,一台机器中毒,就可能导致整个企业局域网瘫痪,部分用户资料被盗,严重影响了企业网络的正常运行,企业亟需有效的防护方案。
【CSDN】
随着互联网技术的飞速发展,病毒发展可谓日新月异。
从最初的文件型病毒只感染计算机文件、到CIH可以破坏计算机硬件、再到冲击波和震荡波病毒已具备网络破坏能力,如今正是ARP病毒当道,危害范围广,破坏强度大。由于其发作的时候会向全网群发伪造的ARP数据包,一台机器中毒,就可能导致整个企业局域网瘫痪,部分用户资料被盗,严重影响了企业网络的正常运行,企业亟需有效的防护方案。
什么是ARP病毒?
趋势科技网络安全专家宋浪生介绍,ARP病毒是用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。默认情况下,ARP从缓存中读取IP/MAC条目,缓存中的IP/MAC条目是根据ARP响应包动态变化的。
因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP/MAC条目,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP/MAC条目,造成网络中断或中间人攻击。其表现为局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样,这样用户访问时就会经过攻击主机,从而达到欺骗效果获取资料。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
ARP病毒的流行也表明企业内部攻击正在呈上升态势。今天,超过50%的攻击来自于内部网络。远程用户与企业网络相连,安全缺陷存在的个人计算机、笔记本电脑以及移动设备都为网络攻击敞开了大门,从而造成被感染的机器能够在整个企业网络内部大肆传播。为了阻止这些攻击,就必须在设备与企业网络正式连接前,对其安全状态进行全面的检查。
趋势科技网络病毒墙NVWE 对抗ARP病毒
针对ARP病毒的防护,趋势科技推出了网络病毒墙NVWE的最新2.1版本。ARP病毒防护的方法主要表现在保护、定位、处理三个部分:保护是使用IP和MAC地址绑定的方式实现;定位是使用抓包工具进行分析,查看网络中ARP广播包的内容,如出现一个主机向所有人发布其他IP地址的MAC地址都为自己的MAC地址,那么就说明此主机为ARP病毒源。处理是找到攻击源后进行,将此计算机的ARP病毒进程断掉,阻断ARP欺骗包的攻击,然后管理员可对感染病毒主机进行手动处理或获取ARP病毒样本提交给防病毒厂商。
通过NVWE产品将ARP防护功能部署到所有客户端,进行统一管理,其包括预防、阻止及清除ARP攻击三部分功能。
预防:通过NVWE可以将所有客户端ARP表中的动态地址更改成静态地址,并由NVWE统一进行管理,这样ARP Cache中的MAC地址就不能够被修改,实现防御功能;
阻止:NVWE可以阻止客户端发出的ARP攻击包,并报告给管理员。
清除:定位到某个进程在发送ARP攻击包后,NVWE可以通过内部机制将ARP病毒进程清除掉,从而根本解决ARP病毒问题。
随着互联网技术的飞速发展,病毒发展可谓日新月异。
从最初的文件型病毒只感染计算机文件、到CIH可以破坏计算机硬件、再到冲击波和震荡波病毒已具备网络破坏能力,如今正是ARP病毒当道,危害范围广,破坏强度大。由于其发作的时候会向全网群发伪造的ARP数据包,一台机器中毒,就可能导致整个企业局域网瘫痪,部分用户资料被盗,严重影响了企业网络的正常运行,企业亟需有效的防护方案。
什么是ARP病毒?
趋势科技网络安全专家宋浪生介绍,ARP病毒是用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。默认情况下,ARP从缓存中读取IP/MAC条目,缓存中的IP/MAC条目是根据ARP响应包动态变化的。
因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP/MAC条目,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP/MAC条目,造成网络中断或中间人攻击。其表现为局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样,这样用户访问时就会经过攻击主机,从而达到欺骗效果获取资料。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
ARP病毒的流行也表明企业内部攻击正在呈上升态势。今天,超过50%的攻击来自于内部网络。远程用户与企业网络相连,安全缺陷存在的个人计算机、笔记本电脑以及移动设备都为网络攻击敞开了大门,从而造成被感染的机器能够在整个企业网络内部大肆传播。为了阻止这些攻击,就必须在设备与企业网络正式连接前,对其安全状态进行全面的检查。
趋势科技网络病毒墙NVWE 对抗ARP病毒
针对ARP病毒的防护,趋势科技推出了网络病毒墙NVWE的最新2.1版本。ARP病毒防护的方法主要表现在保护、定位、处理三个部分:保护是使用IP和MAC地址绑定的方式实现;定位是使用抓包工具进行分析,查看网络中ARP广播包的内容,如出现一个主机向所有人发布其他IP地址的MAC地址都为自己的MAC地址,那么就说明此主机为ARP病毒源。处理是找到攻击源后进行,将此计算机的ARP病毒进程断掉,阻断ARP欺骗包的攻击,然后管理员可对感染病毒主机进行手动处理或获取ARP病毒样本提交给防病毒厂商。
通过NVWE产品将ARP防护功能部署到所有客户端,进行统一管理,其包括预防、阻止及清除ARP攻击三部分功能。
预防:通过NVWE可以将所有客户端ARP表中的动态地址更改成静态地址,并由NVWE统一进行管理,这样ARP Cache中的MAC地址就不能够被修改,实现防御功能;
阻止:NVWE可以阻止客户端发出的ARP攻击包,并报告给管理员。
清除:定位到某个进程在发送ARP攻击包后,NVWE可以通过内部机制将ARP病毒进程清除掉,从而根本解决ARP病毒问题。
用户评论
正在载入评论列表...
是谁推荐了此篇文章
冯珊CSDN频道编辑、记者
- 冯珊推荐的其他文章
