警惕企业杀手“ARP”类病毒

年中刚过，国内外多家反病毒厂商和安全机构就公布了2007年上半年安全威胁新趋势，除了我们已经了解的木马、钓鱼等针对网络应用的攻击持续增多之外，针对局域网的“ARP”类病毒破坏性不断增加更需要引起我们的注意。

　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中， ARP协议对网络安全具有重要的意义，因为在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。而这个目标MAC地址是通过地址解析协议获得的，即主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。而“ARP”类病毒通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

　　我们知道，局域网是目前大多数企业网络运转的根基，如果一旦受到攻击破坏很可能整个业务系统的瘫痪，而“ARP”类病毒在攻击手段上通常十分狡猾，例如利用伪造源MAC地址发送ARP响应包，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，就会造成网络中断或中间人攻击。

　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了服务器，那么病毒主机就会经常伪造断线的假象，那么用户就得重新登录服务器，这样病毒主机就可以盗取用户名、密码等重要信息了。

　　另外，如果中毒电脑是位于企业数据中心内的服务器，则其所在VLAN内的其他网站服务器在响应用户的网页访问请求时，返回的页面也将带毒，这样遭受危害的客户端机器会以几何级数迅速增多，危害极为严重。

　　今年上半年，“ARP”类病毒已经在国内造成相当程度的危害，不少企业因此导致宕机和网络瘫痪，盗号等现象也多次发生，希望更多企业提高警惕，防止这个“企业杀手”继续作恶。