隨著互聯網技術的飛速發展，病毒發展可謂日新月異：從最初的文件型病毒只感染計算機文件、到CIH可以破壞計算機硬件、再到沖擊波和震蕩波病毒已具備網絡破壞能力，如今正是ARP病毒當道，危害范圍廣，破壞強度大。由于其發作的時候會向全網群發偽造的ARP數據包，一臺機器中毒，就可能導致整個企業局域網癱瘓，部分用戶資料被盜，嚴重影響了企業網絡的正常運行，企業亟需有效的防護方案。

什么是ARP病毒？

ARP病毒是用偽造源MAC地址發送ARP響應包，對ARP高速緩存機制的攻擊，能夠在網絡中產生大量的ARP通信量使網絡阻塞或者實現“man in the middle” 進行ARP重定向和嗅探攻擊。默認情況下，ARP從緩存中讀取IP/MAC條目，緩存中的IP/MAC條目是根據ARP響應包動態變化的。因此，只要網絡上有ARP響應包發送到本機，即會更新ARP高速緩存中的IP/MAC條目，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP/MAC條目，造成網絡中斷或中間人攻擊。其表現為局域網所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MAC New地址都一致為病毒主機的MAC地址），同時在路由器的“用戶統計”中看到所有用戶的MAC地址信息都一樣，這樣用戶訪問時就會經過攻擊主機，從而達到欺騙效果獲取資料。當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。切換到病毒主機上網后，如果用戶已經登陸了傳奇服務器，那么病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。

ARP病毒的流行也表明企業內部攻擊正在呈上升態勢。今天，超過50%的攻擊來自于內部網絡。遠程用戶與企業網絡相連，安全缺陷存在的個人計算機、筆記本電腦以及移動設備都為網絡攻擊敞開了大門，從而造成被感染的機器能夠在整個企業網絡內部大肆傳播。為了阻止這些攻擊，就必須在設備與企業網絡正式連接前，對其安全狀態進行全面的檢查。

針對ARP病毒的防護，趨勢科技推出了網絡防毒墻NVWE的最新2.1版本。ARP病毒防護的方法主要表現在保護、定位、處理三個部分：保護是使用IP和MAC地址綁定的方式實現；定位是使用抓包工具進行分析，查看網絡中ARP廣播包的內容，如出現一個主機向所有人發布其他IP地址的MAC地址都為自己的MAC地址，那么就說明此主機為ARP病毒源。處理是找到攻擊源后進行，將此計算機的ARP病毒進程斷掉，阻斷ARP欺騙包的攻擊，然后管理員可對感染病毒主機進行手動處理或獲取ARP病毒樣本提交給防病毒廠商。

趨勢科技為了能夠更好的解決用戶的ARP病毒問題提出了新的解決方案，主要是通過NVWE產品將ARP防護功能部署到所有客戶端，進行統一管理，其包括預防、阻止及清除ARP攻擊三部分功能。

預防：通過NVWE可以將所有客戶端ARP表中的動態地址更改成靜態地址，并由NVWE統一進行管理，這樣ARP Cache中的MAC地址就不能夠被修改，實現防御功能；

阻止：NVWE可以阻止客戶端發出的ARP攻擊包，并報告給管理員。

清除：定位到某個進程在發送ARP攻擊包后，NVWE可以通過內部機制將ARP病毒進程清除掉，從而根本解決ARP病毒問題。

趨勢科技網絡病毒墻NVWE控制對企業網絡的訪問，確保所有設備，不論是受控設備還是非受控設備，不論是本地設備還是遠程設備，都能在建立連接前遵守公司的安全策略。NVWE無需事先預裝代理，就可以檢查每個設備安全軟件的更新狀態和系統補丁(Microsoft)，也無需終端用戶干預，可以保證對客戶端設備的影響降到最低。NVWE在提供網絡準入控制的同時，提供網絡蠕蟲和僵尸攻擊防護。由于采用了漏洞簽名識別技術，NVWE可以廣譜攔截網絡威脅的變種，將受感染的網段隔離開來，阻止網絡威脅的擴散。

據了解，趨勢科技最新版的NVWE在一些用戶已經開始應用，防護效果非常明顯，解決了困擾用戶多年的問題。NVWE2.1對于ARP預防、阻止以及病毒源頭定位方面效果尤其顯著，從根本上解決了ARP問題，可以說是目前針對ARP病毒的完美解決方案。目前國內一些高端用戶在購買了多臺NVWE后，因為NVWE2.1強大的ARP防護功能，用戶即將再次大批量采購此設備，可見其ARP解決方案得到了用戶的高度認可！