【趋势科技NVWE有效对抗ARP病毒】趋势科技病毒服务器迁移
如今正是ARP病毒爆发期,该病毒危害范围广,破坏强度大。据趋势科技网络安全监测实验室(CRTL)安全专家Nick表示,ARP病毒是一种通过ARP地址欺骗进行网络劫持的病毒。该病毒用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle”进行ARP重定向和嗅探攻击。感染ARP病毒的表现为局域网所有主机的MAC地址更新为病毒主机的MAC地址,即所有信息的MAC New地址都一致为病毒主机的MAC地址,同时在路由器的用户统计中看到所有用户的MAC地址信息都一样,这样用户访问时就会经过攻击主机,从而现象欺骗效果获取资料。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登录了网游或网络交易服务器,那么病毒主机就会经常伪造断线的假像,从而使用户不得不重新登录网游或网络交易服务器,这样病毒主机就可以从容地盗取用户的账户信息了。
为了能够更好地解决用户的ARP病毒问题,趋势科技网络安全监测实验室(CRTL)提出了最新的解决方案,通过NVWE产品将ARP防护功能部署到所有客户端,进行统一管理,对预防、阻止及清除ARP攻击三个环节都进行了严密地部署:首先,NVWE会根据局域网的规模,将其分为了多个安全区域,保证一个区域网络病毒爆发不会影响其他区域,并将所有客户端的动态ARP更改成静态ARP,由NVWE统一进行管理,这样ARP Cache中的MAC地址就不能够被修改,实现防御功能;同时,NVWE可以阻止客户端发出ARP攻击包,并可以确认是哪个进程在发送ARP攻击包,第一时间将定制的提示信息反馈给管理员和中毒节点的使用者;而定位到某个进程在发送ARP攻击包后,NVWE可以通过内部机制将发送ARP攻击包的进程清除掉,从而从根本上解决ARP病毒问题。