【51CTO.com綜合報道】隨著技術的發展，病毒也在不斷進步，信息化辦公企業正在與病毒制作者進行實時的技術對抗。眾多病毒中，比較另企業頭疼的病毒就是ARP病毒。ARP病毒到底是怎么樣的一種病毒呢？它又會帶給企業哪些頭疼的問題呢？如何有效解決ARP病毒對企業網絡安全帶來的危害？本文通過詳細分析，通過建立多層次病毒防護體系，并利用瑞星防毒墻，來阻斷ARP病毒在企業內的傳播。

ARP病毒介紹

實際上，ARP病毒并不是某一種病毒的名稱，而是對利用ARP協議的漏洞進行傳播的一類病毒的總稱。ARP病毒是一種入侵電腦的木馬病毒，對電腦用戶私密信息的威脅很大。ARP協議是TCP/IP協議組的一個協議，用于進行把網絡地址翻譯成物理地址（又稱MAC地址）。通常此類攻擊的手段有兩種——路由欺騙和網關欺騙。

ARP病毒發作一般有以下幾種現象：

網絡時快時慢，極其不穩定；

局域網內頻繁性區域或整體掉線，重啟計算機或網絡設備后恢復正常，之后仍然不斷發生；

終端反復感染病毒，即使重做系統后，仍會感染病毒；

網上銀行、游戲及QQ賬號等出現丟失情況。

ARP病毒傳播方式

ARP病毒常見的傳播方式有以下幾種：

1. 終端訪問互聯網，訪問到惡意網址，利用終端安全漏洞，病毒體被下載到終端病毒運行。具有ARP欺騙行為的病毒也可以利用此種方式被傳播，病毒名稱一般為Hack.ARPCheat。

2. 當已經有終端感染ARP病毒后，會自動發出ARP攻擊數據包，把所有同網段其他終端與網關的訪問數據劫持向自己，并在訪問數據中嵌入惡意網址，常見是HTTP數據。終端將會受到惡意網站的攻擊，一旦攻擊成功，木馬病毒會被植入終端并感染。

3. 在已經有終端感染ARP病毒后，會在劫持的數據中嵌入惡意代碼及病毒體文件下載鏈接，當攻擊成功后，病毒體會直接被植入終端并感染。

圖1：ARP病毒傳播示意

ARP病毒防護解決方案

針對以上ARP病毒傳播行為分析可以看出，ARP病毒傳播的核心方式是從互聯網下載病毒體文件或利用惡意網址，以及利用U盤等媒介進行傳播。

感染ARP病毒后，如果終端反復查殺出新的病毒，就說明病毒體正不斷從互聯網被下載的情況存在。一般企業部署了網絡版殺毒軟件，對于U盤傳播的病毒有防護能力，但僅局限于對桌面操作系統的保護，無法從網絡層面過濾病毒。而網關防毒技術——防毒墻的推出恰恰是從網絡傳輸層面過濾病毒，防御病毒于企業網絡之外，可以更好地解決ARP病毒從互聯網傳播的難題。

圖2：瑞星防毒墻可以有效地保護企業網絡免遭ARP病毒的襲擊

建立多層次病毒防護體系

第一層次，終端操作系統部署殺毒軟件，防護直接接觸操作系統的病毒傳入終端，如通過U盤傳播；

第二層次，在網關部署防毒墻，使用透明橋模式即可，從網絡傳輸層過濾病毒，主動防御病毒于企業網絡之外。病毒在網絡傳輸過程中不會是運行的狀態，直接會被阻斷傳輸，也就不會存在病毒過濾失敗問題，所以網關防毒有得天獨厚的優勢。

防毒墻在ARP病毒防護中的應用

防毒墻可以阻斷從互聯網傳入企業局域網的ARP病毒

防毒墻具有病毒過濾、惡意網址過濾兩大亮點功能，想利用這兩種方式傳播進入企業局域網的ARP病毒將會被直接攔截在企業網絡之外。

瑞星防毒墻具有第八代反病毒引擎技術，可以有效過濾各種加殼的木馬等病毒文件。此外，瑞星防毒墻還無縫共享瑞星1.5億“云安全”用戶的成果，可以及時獲取惡意網址信息，及時阻斷病毒的傳播。

對于企業局域網中已經存在的ARP病毒，防毒墻可以控制ARP病毒在企業內部的傳播

第一步，控制傳播源：企業內部計算機感染ARP病毒后，部署防毒墻不僅可以阻斷病毒體不斷從互聯網下載，還可以利用防毒墻的日志系統定位感染病毒的終端。當未知病毒出現時，防毒墻仍可以可以利用控制指定文件類型的傳輸的功能控制病毒體傳播。

第二步，消除局域網ARP欺騙影響：病毒體下載源控制住了，利用防毒墻的MAC地址管理功能可定位具有ARP欺騙行為的終端。利用交換機管理功能就可以對終端進行局域網訪問控制，此時企業網絡其他的終端仍可以正常訪問網絡。

第三步，處置感染病毒的終端：網絡恢復正常了，接下來只需要對存在問題的終端進行處理。利用殺毒軟件對終端系統進行全面殺毒，病毒被清除后再接入網絡。