快捷登錄,享 免費(fèi)下載
首頁 > 軟件列表 > ARP防火墻
ARP防火墻

ARP防火墻

防范ARP攻擊工具

軟件語言:簡體中文
軟件授權(quán):商業(yè)軟件
適用系統(tǒng):Windows
創(chuàng)建時(shí)間:2021-01-13
軟件廠商/開發(fā)者信息:獨(dú)立開發(fā)者

攻擊介紹

網(wǎng)絡(luò)經(jīng)常掉線、發(fā)生IP沖突、擔(dān)心通訊數(shù)據(jù)受到監(jiān)控(如MSN、QQ、EMAIL)、網(wǎng)絡(luò)速度受到網(wǎng)管軟件限制(如聚生網(wǎng)管、P2P終結(jié)者)、甚至深受各種ARP攻擊軟件之苦(如網(wǎng)絡(luò)執(zhí)法官、網(wǎng)絡(luò)剪刀手、局域網(wǎng)終結(jié)者)等這些問題是我們上網(wǎng)時(shí)經(jīng)常遇到的,而這些問題的產(chǎn)生 ,根源都是ARP欺騙(ARP攻擊)。在沒有ARP欺騙之前,數(shù)據(jù)流向是這樣的:網(wǎng)關(guān)<->本機(jī)。ARP欺騙之后,數(shù)據(jù)流向是這樣的:網(wǎng)關(guān)<->攻擊者(“網(wǎng)管”)<->本機(jī),本機(jī)與網(wǎng)關(guān)之間的所有通訊數(shù)據(jù)都將流經(jīng)攻擊者(“網(wǎng)管”),所以“任人宰割”就在所難免了。

ARP防火墻通過在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包以及主動通告網(wǎng)關(guān)本機(jī)正確的MAC地址,可以保障數(shù)據(jù)流向正確,不經(jīng)過第三者,從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡(luò)暢通、保證通訊數(shù)據(jù)不受第三者控制,從而完美的解決上述所有問題。

九大功能

1.攔截ARP攻擊。

(A)在系統(tǒng)內(nèi)核層攔截外部虛假ARP數(shù)據(jù)包,保障系統(tǒng)不受ARP欺騙、ARP攻擊影響,保持網(wǎng)絡(luò)暢通及通訊安全;

(B)在系統(tǒng)內(nèi)核層攔截本機(jī)對外的ARP攻擊數(shù)據(jù)包,以減少感染惡意程序后對外攻擊給用戶 帶來的麻煩;

2.攔截IP沖突。在系統(tǒng)內(nèi)核層攔截IP沖突數(shù)據(jù)包,保障系統(tǒng)不受IP沖突攻擊的影響;

3.Dos攻擊抑制。在系統(tǒng)內(nèi)核層攔截本機(jī)對外的TCPSYN/UDP/ICMP/ARPDoS攻擊數(shù)據(jù)包,定位惡意發(fā)動DoS攻擊的程序,從而保證網(wǎng)絡(luò)的暢通;

4.安全模式。除了網(wǎng)關(guān)外,不響應(yīng)其它機(jī)器發(fā)送的ARPRequest,達(dá)到隱身效果,減少受到ARP攻擊的幾率;

5.ARP數(shù)據(jù)分析。分析本機(jī)接收到的所有ARP數(shù)據(jù)包,掌握網(wǎng)絡(luò)動態(tài),找出潛在的攻擊者或中毒的機(jī)器;

6.監(jiān)測ARP緩存。自動監(jiān)測本機(jī)ARP緩存表,如發(fā)現(xiàn)網(wǎng)關(guān)MAC地址被惡意程序篡改,將報(bào)警并自動修復(fù),以保持網(wǎng)絡(luò)暢通及通訊安全;

7.主動防御。主動與網(wǎng)關(guān)保持通訊,通告網(wǎng)關(guān)正確的MAC地址,以保持網(wǎng)絡(luò)暢通及通訊安全;

8.追蹤攻擊者。發(fā)現(xiàn)攻擊行為后,自動快速鎖定攻擊者IP地址;

9.ARP病毒專殺。發(fā)現(xiàn)本機(jī)有對外攻擊行為時(shí),自動定位本機(jī)感染的惡意程序、病毒程序;

工作原理

ARP是AddressResolutionProtocal(地址轉(zhuǎn)換協(xié)議)的簡稱,是TCP/IP協(xié)議中最底層的協(xié)議之一。它的作用是完成IP地址到MAC(物理地址)的轉(zhuǎn)換。在局域網(wǎng)中兩臺計(jì)算機(jī)之間的通訊,或者局域網(wǎng)中的計(jì)算機(jī)將IP數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)給網(wǎng)關(guān)的時(shí)候,網(wǎng)卡都需要知道目標(biāo)計(jì)算機(jī)的物理地址,以填充物理幀中的目的地址。

現(xiàn)在假設(shè)同一以太網(wǎng)中的計(jì)算機(jī)A(192.168.0.1)需要向計(jì)算機(jī)B(192.168.0.2)發(fā)送數(shù)據(jù)報(bào),而此時(shí)A尚不知道B的物理地址。為了獲得B的物理地址,A在局域網(wǎng)上發(fā)送ARP廣播,查詢192.168.0.2這個(gè)物理地址,同時(shí)在ARP包中填入自己的物理地址Ma,相當(dāng)于發(fā)出這樣的詢問“誰拿了192.168.0.2這個(gè)地址?請回Ma這個(gè)物理地址?!庇?jì)算機(jī)B在收到了這個(gè)查詢以后,以Ma為目的地址發(fā)回一個(gè)ARP包,里面包含了自己的物理地址。這樣通訊的雙方都了解了對方的物理地址,通訊過程正式建立。

通常ARP協(xié)議都在支持廣播的網(wǎng)絡(luò)上使用,比方以太網(wǎng),這種數(shù)據(jù)包不能跨物理網(wǎng)段使用,即不能跨越一個(gè)路由器(除路由器本身還用作ARP代理以外)。

在實(shí)際的ARP協(xié)議軟件的實(shí)現(xiàn)中還有一些應(yīng)該注意的事項(xiàng):每臺計(jì)算機(jī)上都有一個(gè)ARP緩沖,它保存了一定數(shù)量的從IP地址到MAC地址的映射,同時(shí)當(dāng)一個(gè)ARP廣播到來時(shí),雖然這個(gè)ARP廣播可能與它無關(guān),但ARP協(xié)議軟件也會把其中的物理地址與IP地址的映射記錄下來,這樣做的好處是能夠減少ARP報(bào)在局域網(wǎng)上發(fā)送的次數(shù)。同時(shí),ARP緩沖中IP地址與物理地址之間的映射并不是一但生成就永久有效,每一個(gè)ARP映射表項(xiàng)都有自己的時(shí)延,如果過了一定的時(shí)間還沒有新的ARP到來,那么這個(gè)ARP映射就從緩沖中被刪除了。那么下一次計(jì)算機(jī)向這個(gè)IP地址發(fā)送數(shù)據(jù)包的時(shí)候必須來一次新的查詢。

本地網(wǎng)絡(luò)IP查找的原理

事實(shí)上Windows本身就用ARP來確定自己的IP地址是否與網(wǎng)絡(luò)上的另一臺計(jì)算機(jī)發(fā)生了沖突。當(dāng)一個(gè)ARP包到來時(shí),Windows如果檢查到其中的IP地址與本機(jī)上的相同,而物理地址不同,這時(shí)Windows就會向用戶報(bào)告這個(gè)IP地址已經(jīng)被別人占用。非常有意思的時(shí),Windows對待IP地址是以先來后到的順序分配,如果已經(jīng)有人先占了,那么本機(jī)的網(wǎng)絡(luò)接口就會被禁用。這也是非常惱人的“特色”因?yàn)橐坏╅_機(jī)后有了第一次沖突,以后的任何網(wǎng)絡(luò)操作就都無效了。WindowsXP有了一定的進(jìn)步,它在發(fā)現(xiàn)沖突以后并不禁用接口,而是允許用戶進(jìn)行修復(fù)。其實(shí)用sniffer可以看到所謂的“修復(fù)”也不過是發(fā)了幾個(gè)ARP包出去,把IP“搶”回來。

在以前的文章中我描述了一個(gè)用ICMP回送請求(類似PING)進(jìn)行IP查找的程序。這個(gè)程序用并發(fā)的幾十個(gè)線程同時(shí)PING網(wǎng)絡(luò)上的多臺計(jì)算機(jī),如果回送請求被正確的應(yīng)答了,那么可以認(rèn)為這個(gè)IP地址已經(jīng)被占用,如果沒有,我們就宣稱它是空閑的。然而它有優(yōu)點(diǎn)也有缺點(diǎn),其優(yōu)點(diǎn)是能夠PING很遠(yuǎn)的計(jì)算機(jī),即使不在同一個(gè)物理網(wǎng)段上,缺點(diǎn)是當(dāng)目標(biāo)計(jì)算機(jī)上安裝了防火墻并禁止了ICMP包,或者采用了防ICMPflood攻擊的規(guī)則以后都有可能讓ICMP回送請求得不到應(yīng)答。

ARP的優(yōu)點(diǎn)與缺點(diǎn)正好與ICMP相反。它無法跨物理網(wǎng)段進(jìn)行IP查找,但是由于沒有防火墻禁止ARP包的通過(想想看,如果禁止了ARP包,也就等于不讓人家知道你的物理地址,那么實(shí)際上也就是將自己的計(jì)算機(jī)同網(wǎng)絡(luò)斷開了),所以ARP包的IP查找結(jié)果一定是非常精準(zhǔn)的。

在實(shí)現(xiàn)了一個(gè)原始的ARPIP查找版本以后,我發(fā)現(xiàn)其結(jié)果并不準(zhǔn)確,有些已經(jīng)沒有人使用的IP地址被錯(cuò)誤的報(bào)成有人占用了,難道我的判斷是錯(cuò)誤的?當(dāng)然不,這種錯(cuò)誤的原因是在Windows的ARP緩沖中。實(shí)際上,在發(fā)送一個(gè)ARP報(bào)文的時(shí)候,Windows會首先檢查本機(jī)的ARP緩沖,如果發(fā)現(xiàn)了已經(jīng)有對應(yīng)的ARP表項(xiàng),而且還沒有過期的話,Windows并不會發(fā)送這個(gè)報(bào)文,而是直接返回給調(diào)用者這個(gè)ARP表項(xiàng)的內(nèi)容。這樣一來,假設(shè)有計(jì)算機(jī)中途掉網(wǎng),而它的ARP表項(xiàng)還沒有過期,那么這個(gè)程序仍然能夠得到它的IP到MAC的映射,自然也就會錯(cuò)誤的宣稱這個(gè)IP地址還在使用中了。在運(yùn)行這個(gè)程序前,我使用arp–d(事實(shí)上,在看了本文以后,你就可以實(shí)現(xiàn)一個(gè)這樣的arp程序了)這個(gè)命令來刪除緩沖中所有的ARP表項(xiàng),然后得到的結(jié)果就非常準(zhǔn)確了。IPHelperAPI提供了管理ARP緩沖的過程,所以我修改了這個(gè)程序,把a(bǔ)rp–d的功能集成到了自己的程序中來。如果看看《使用TCP/IP協(xié)議實(shí)際網(wǎng)際互連(第二卷)》你就會明白ARP協(xié)議軟件中的諸多問題。

IPHelperAPIGetIpNetTable函數(shù)能夠提取出本機(jī)上的所有ARP表項(xiàng)。使用它的方法與上一篇文章中使用的函數(shù)相當(dāng)?shù)念愃?,你也必須兩次使用它,第一次獲得緩沖的大小,而第二次獲得實(shí)際的ARP表。這個(gè)映射表是以數(shù)組的方式指出的。其結(jié)構(gòu)如下:

typedefstruct_MIB_IPNETTABLE{

DWORDdwNumEntries;//數(shù)組的大小

MIB_IPNETROWtable[ANY_SIZE];//數(shù)組本身

}MIB_IPNETTABLE,*PMIB_IPNETTABLE;

而MIB_IPNETROW的定義:

typedefstruct_MIB_IPNETROW{

DWORDdwIndex;//網(wǎng)絡(luò)接口的索引號

DWORDdwPhysAddrLen;//物理地址長度

BYTEbPhysAddr[MAXLEN_PHYSADDR];//物理地址

DWORDdwAddr;//IP地址

DWORDdwType;//ARP表項(xiàng)類型

}MIB_IPNETROW,*PMIB_IPNETROW;

其中dwType即ARP表項(xiàng)類型是比較重要的東西,因?yàn)槟承〢RP表項(xiàng)一但設(shè)定就不再改變,比方本機(jī)地址的ARP表項(xiàng)和默認(rèn)網(wǎng)關(guān)的地址表項(xiàng)等等,這些ARP表項(xiàng)并不會“過期”,除非網(wǎng)絡(luò)故障或者設(shè)置改變了以后,會重新生成一次ARP查詢。這種表項(xiàng)被稱為“靜態(tài)”的。此時(shí)dwType的值為4。在程序中,我們不必刪除這類表項(xiàng)(雖然刪了它們也不會造成什么后果)。

然而在實(shí)際的程序中,我使用了FlushIPNetTable這個(gè)函數(shù)來刪除特定網(wǎng)卡上的ARP緩沖。

然后是刪除一個(gè)表項(xiàng)的DeleteIpNetEntry,修改表項(xiàng)的SetIpNetEntry和添加表項(xiàng)的CreateIpNetEntry。還有兩個(gè)管理代理ARP表項(xiàng)的函數(shù),關(guān)于代理ARP,可以看看《使用TCP/IP協(xié)議實(shí)現(xiàn)網(wǎng)際互連(第一卷)》關(guān)于ARP代理的部分,由于與我們的程序無關(guān),就不做介紹了。

最后需要詳述的函數(shù)是SendARP。它的原型如下:

DWORDSendARP(

IPAddrDestIP,//目的IP地址

IPAddrSrcIP,//源IP地址,可選參數(shù),把它填成0不會有問題

PULONGpMacAddr,//返回的物理地址

PULONGPhyAddrLen//物理地址的長度

);

相關(guān)軟件

瑞星防火墻

國內(nèi)老牌的安全軟件廠商。

風(fēng)云防火墻

國內(nèi)防火墻新興力量,風(fēng)云防火墻。風(fēng)云防火墻將秉持自己的簡約而不簡單的核心開發(fā)思想,認(rèn)真綜合、考慮用戶的建議,開發(fā)、整合適于當(dāng)前網(wǎng)絡(luò)時(shí)代防火墻趨勢與理念的功能,為用戶提供防護(hù)優(yōu)秀、功能實(shí)用、操作簡單、占用資源低的風(fēng)云防火墻。

奇虎360防火墻

360ARP防火墻通過在系統(tǒng)內(nèi)核層攔截ARP攻擊數(shù)據(jù)包,確保網(wǎng)關(guān)正確的MAC地址不被篡改,可以保障數(shù)據(jù)流向正確,不經(jīng)過第三者,從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡(luò)暢通、保證通訊數(shù)據(jù)不受第三者控制,完美的解決局域網(wǎng)內(nèi)ARP攻擊問題。

服務(wù)器安全狗-ARP防火墻

服務(wù)器安全狗是國內(nèi)首款支持Windows全系列操作系統(tǒng)(Windows2003/Windows2008 32位 64位)的基于內(nèi)核級的服務(wù)器安全防護(hù)軟件,軟件采用NDIS中間層驅(qū)動模式,從驅(qū)動層直接屏蔽攻擊,可以將針對服務(wù)器的攻擊帶來的損失降低到最小,最大程度地保護(hù)用戶服務(wù)器的安全。

彩影防火墻

ARP防火墻采用內(nèi)核層攔截技術(shù)和主動防御技術(shù),幾大功能模塊(攔截ARP攻擊/攔截IP沖突/DoS攻擊抑制/安全模式/ARP數(shù)據(jù)分析/監(jiān)測ARP緩存/主動防御/追蹤攻擊源/查殺ARP病毒/系統(tǒng)時(shí)間保護(hù)/IE首頁保護(hù)/ARP緩存保護(hù)/自身進(jìn)程保護(hù)/智能防御)互相配合,可徹底解決ARP相關(guān)問題,扼殺DoS攻擊源。

超級巡警

專門查殺并可輔助查殺各種木馬、流氓軟件、利用rootkit技術(shù)的各種后門和其它惡意代碼(間諜軟件、蠕蟲病毒)等等。提供了多種專業(yè)工具,提供系統(tǒng)/IE修復(fù)、隱私保護(hù)和安全優(yōu)化功能,提供了全面的系統(tǒng)監(jiān)測功能,使你對系統(tǒng)的變化了如指掌,配合手動分析可近100%的查殺未知惡意代碼!

金山防火墻

金山ARP防火墻能夠雙向攔截ARP欺騙攻擊包,監(jiān)測鎖定攻擊源,時(shí)刻保護(hù)局域網(wǎng)用戶PC的正常上網(wǎng)數(shù)據(jù)流向,是一款是適于個(gè)人用戶的反ARP欺騙保護(hù)工具!網(wǎng)關(guān)動態(tài)探測+識別——識破偽造的網(wǎng)關(guān)地址,動態(tài)獲取、并分析判斷后為受保護(hù)PC綁定正確的網(wǎng)關(guān)地址,從而時(shí)刻保障保護(hù)本機(jī)上網(wǎng)數(shù)據(jù)的正確流向。同時(shí)也支持用戶手動設(shè)置綁定網(wǎng)關(guān)地址。主動向真網(wǎng)關(guān)表明合法身份

雙向攔截ARP攻擊——外部攻擊、本機(jī)受感染攻擊均不影響使用

攔截來自外部接受或是由本機(jī)發(fā)出的ARP攻擊數(shù)據(jù)包并提醒用戶,保障本機(jī)及其它PC的網(wǎng)絡(luò)通暢。保護(hù)本機(jī)不受IP沖突攻擊的影響,擊源追蹤鎖定,抓住罪魁禍?zhǔn)住?/p>

攔截到ARP攻擊包后立即追蹤攻擊源,找出安全威脅源頭。

主動實(shí)時(shí)升級主動漏洞修復(fù)。讓受保護(hù)PC在局域網(wǎng)隱身,惡性攻擊無從下手獨(dú)有“安全桌面”:采用底層驅(qū)動技術(shù)特殊保護(hù)下的獨(dú)立空間,有效隔絕盜號木馬的各種攻擊,尤其適合進(jìn)行全屏游戲的時(shí)候使用,并且和正常桌面之間的切換方便無門檻。當(dāng)程序在密保的保護(hù)下運(yùn)行時(shí),如有其他程序?qū)ζ洚a(chǎn)生注入等可疑行為的時(shí)候,利用金山毒霸強(qiáng)大的互聯(lián)網(wǎng)可信認(rèn)證技術(shù),利用強(qiáng)大的后臺數(shù)據(jù)支持來判斷安全與否,從而最大程度的減少對用戶的騷擾,且更有利于攔截危險(xiǎn)程序可疑行為攔截+互聯(lián)網(wǎng)可信認(rèn)證

當(dāng)程序在密保的保護(hù)下運(yùn)行時(shí),如有其他程序?qū)ζ洚a(chǎn)生注入等可疑行為的時(shí)候,利用金山毒霸強(qiáng)大的互聯(lián)網(wǎng)可信認(rèn)證技術(shù),利用強(qiáng)大的后臺數(shù)據(jù)支持來判斷安全與否,從而最大程度的減少對用戶的騷擾,且更有利于攔截危險(xiǎn)程序。當(dāng)程序在密保的保護(hù)下運(yùn)行時(shí),如有其他程序?qū)ζ洚a(chǎn)生注入等可疑行為的時(shí)候,利用金山毒霸強(qiáng)大的互聯(lián)網(wǎng)可信認(rèn)證技術(shù),利用強(qiáng)大的后臺數(shù)據(jù)支持來判斷安全與否,從而最大程度的減少對用戶的騷擾,且更有利于攔截危險(xiǎn)程序。對被保護(hù)進(jìn)程使用了進(jìn)程隱藏功能之后,如同穿上了傳說中的隱身衣,這些進(jìn)程將無法被Ring3層的其他程序所發(fā)現(xiàn)。從而加大了木馬查找并攻擊這些程序的難度。(注意:這個(gè)功能可能會導(dǎo)致某些使用了行為攔截技術(shù)的軟件誤報(bào)為Rootkit)。

軟件評測

在經(jīng)過一段時(shí)間的測評之后,經(jīng)驗(yàn)是:如果操作系統(tǒng)是:windowsxp、windows2000、windows2003的話,最佳的選擇是風(fēng)云防火墻。作為國內(nèi)新興的防火墻,風(fēng)云操作簡單易用,即便是新手使用也不會感到吃力。除了可以為PC提供不錯(cuò)的ARP防護(hù)外,還可以提供TCP/IP終止、SSL終止、URL過濾、請求分析、會話跟蹤等全面防護(hù)。如果操作系統(tǒng)是VISTA的話,最佳的選擇莫過于金山ARP防火墻了。金山ARP防火墻的安裝文件僅649K,資源占用區(qū)區(qū)752K,而ARP防護(hù)能力卻著實(shí)不弱,值得考慮。另外,彩影ARP防火墻個(gè)人版的ARP防護(hù)能力也不遜于金山ARP防火墻,只是安裝文件比金山的要大,內(nèi)存占用多一點(diǎn)。 

版本列表