ARP防火墻

攻擊介紹

網(wǎng)絡經(jīng)常掉線、發(fā)生IP沖突、擔心通訊數(shù)據(jù)受到監(jiān)控（如MSN、QQ、EMAIL）、網(wǎng)絡速度受到網(wǎng)管軟件限制（如聚生網(wǎng)管、P2P終結者）、甚至深受各種ARP攻擊軟件之苦（如網(wǎng)絡執(zhí)法官、網(wǎng)絡剪刀手、局域網(wǎng)終結者）等這些問題是我們上網(wǎng)時經(jīng)常遇到的，而這些問題的產(chǎn)生 ，根源都是ARP欺騙（ARP攻擊）。在沒有ARP欺騙之前，數(shù)據(jù)流向是這樣的：網(wǎng)關<->本機。ARP欺騙之后，數(shù)據(jù)流向是這樣的：網(wǎng)關<->攻擊者（“網(wǎng)管”）<->本機，本機與網(wǎng)關之間的所有通訊數(shù)據(jù)都將流經(jīng)攻擊者（“網(wǎng)管”），所以“任人宰割”就在所難免了。

ARP防火墻通過在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包以及主動通告網(wǎng)關本機正確的MAC地址，可以保障數(shù)據(jù)流向正確，不經(jīng)過第三者，從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡暢通、保證通訊數(shù)據(jù)不受第三者控制，從而完美的解決上述所有問題。

九大功能

1.攔截ARP攻擊。

(A)在系統(tǒng)內(nèi)核層攔截外部虛假ARP數(shù)據(jù)包，保障系統(tǒng)不受ARP欺騙、ARP攻擊影響，保持網(wǎng)絡暢通及通訊安全；

(B)在系統(tǒng)內(nèi)核層攔截本機對外的ARP攻擊數(shù)據(jù)包，以減少感染惡意程序后對外攻擊給用戶 帶來的麻煩；

2.攔截IP沖突。在系統(tǒng)內(nèi)核層攔截IP沖突數(shù)據(jù)包，保障系統(tǒng)不受IP沖突攻擊的影響；

3.Dos攻擊抑制。在系統(tǒng)內(nèi)核層攔截本機對外的TCPSYN/UDP/ICMP/ARPDoS攻擊數(shù)據(jù)包，定位惡意發(fā)動DoS攻擊的程序，從而保證網(wǎng)絡的暢通；

4.安全模式。除了網(wǎng)關外，不響應其它機器發(fā)送的ARPRequest，達到隱身效果，減少受到ARP攻擊的幾率；

5.ARP數(shù)據(jù)分析。分析本機接收到的所有ARP數(shù)據(jù)包，掌握網(wǎng)絡動態(tài)，找出潛在的攻擊者或中毒的機器；

6.監(jiān)測ARP緩存。自動監(jiān)測本機ARP緩存表，如發(fā)現(xiàn)網(wǎng)關MAC地址被惡意程序篡改，將報警并自動修復，以保持網(wǎng)絡暢通及通訊安全；

7.主動防御。主動與網(wǎng)關保持通訊，通告網(wǎng)關正確的MAC地址，以保持網(wǎng)絡暢通及通訊安全；

8.追蹤攻擊者。發(fā)現(xiàn)攻擊行為后，自動快速鎖定攻擊者IP地址；

9.ARP病毒專殺。發(fā)現(xiàn)本機有對外攻擊行為時，自動定位本機感染的惡意程序、病毒程序；

工作原理

ARP是AddressResolutionProtocal（地址轉換協(xié)議）的簡稱，是TCP/IP協(xié)議中最底層的協(xié)議之一。它的作用是完成IP地址到MAC（物理地址）的轉換。在局域網(wǎng)中兩臺計算機之間的通訊，或者局域網(wǎng)中的計算機將IP數(shù)據(jù)報轉發(fā)給網(wǎng)關的時候，網(wǎng)卡都需要知道目標計算機的物理地址，以填充物理幀中的目的地址。

現(xiàn)在假設同一以太網(wǎng)中的計算機A（192.168.0.1）需要向計算機B（192.168.0.2）發(fā)送數(shù)據(jù)報，而此時A尚不知道B的物理地址。為了獲得B的物理地址，A在局域網(wǎng)上發(fā)送ARP廣播，查詢192.168.0.2這個物理地址，同時在ARP包中填入自己的物理地址Ma，相當于發(fā)出這樣的詢問“誰拿了192.168.0.2這個地址？請回Ma這個物理地址?！庇嬎銠CB在收到了這個查詢以后，以Ma為目的地址發(fā)回一個ARP包，里面包含了自己的物理地址。這樣通訊的雙方都了解了對方的物理地址，通訊過程正式建立。

通常ARP協(xié)議都在支持廣播的網(wǎng)絡上使用，比方以太網(wǎng)，這種數(shù)據(jù)包不能跨物理網(wǎng)段使用，即不能跨越一個路由器（除路由器本身還用作ARP代理以外）。

在實際的ARP協(xié)議軟件的實現(xiàn)中還有一些應該注意的事項：每臺計算機上都有一個ARP緩沖，它保存了一定數(shù)量的從IP地址到MAC地址的映射，同時當一個ARP廣播到來時，雖然這個ARP廣播可能與它無關，但ARP協(xié)議軟件也會把其中的物理地址與IP地址的映射記錄下來，這樣做的好處是能夠減少ARP報在局域網(wǎng)上發(fā)送的次數(shù)。同時，ARP緩沖中IP地址與物理地址之間的映射并不是一但生成就永久有效，每一個ARP映射表項都有自己的時延，如果過了一定的時間還沒有新的ARP到來，那么這個ARP映射就從緩沖中被刪除了。那么下一次計算機向這個IP地址發(fā)送數(shù)據(jù)包的時候必須來一次新的查詢。

本地網(wǎng)絡IP查找的原理

事實上Windows本身就用ARP來確定自己的IP地址是否與網(wǎng)絡上的另一臺計算機發(fā)生了沖突。當一個ARP包到來時，Windows如果檢查到其中的IP地址與本機上的相同，而物理地址不同，這時Windows就會向用戶報告這個IP地址已經(jīng)被別人占用。非常有意思的時，Windows對待IP地址是以先來后到的順序分配，如果已經(jīng)有人先占了，那么本機的網(wǎng)絡接口就會被禁用。這也是非常惱人的“特色”因為一旦開機后有了第一次沖突，以后的任何網(wǎng)絡操作就都無效了。WindowsXP有了一定的進步，它在發(fā)現(xiàn)沖突以后并不禁用接口，而是允許用戶進行修復。其實用sniffer可以看到所謂的“修復”也不過是發(fā)了幾個ARP包出去，把IP“搶”回來。

在以前的文章中我描述了一個用ICMP回送請求（類似PING）進行IP查找的程序。這個程序用并發(fā)的幾十個線程同時PING網(wǎng)絡上的多臺計算機，如果回送請求被正確的應答了，那么可以認為這個IP地址已經(jīng)被占用，如果沒有，我們就宣稱它是空閑的。然而它有優(yōu)點也有缺點，其優(yōu)點是能夠PING很遠的計算機，即使不在同一個物理網(wǎng)段上，缺點是當目標計算機上安裝了防火墻并禁止了ICMP包，或者采用了防ICMPflood攻擊的規(guī)則以后都有可能讓ICMP回送請求得不到應答。

ARP的優(yōu)點與缺點正好與ICMP相反。它無法跨物理網(wǎng)段進行IP查找，但是由于沒有防火墻禁止ARP包的通過（想想看，如果禁止了ARP包，也就等于不讓人家知道你的物理地址，那么實際上也就是將自己的計算機同網(wǎng)絡斷開了），所以ARP包的IP查找結果一定是非常精準的。

在實現(xiàn)了一個原始的ARPIP查找版本以后，我發(fā)現(xiàn)其結果并不準確，有些已經(jīng)沒有人使用的IP地址被錯誤的報成有人占用了，難道我的判斷是錯誤的？當然不，這種錯誤的原因是在Windows的ARP緩沖中。實際上，在發(fā)送一個ARP報文的時候，Windows會首先檢查本機的ARP緩沖，如果發(fā)現(xiàn)了已經(jīng)有對應的ARP表項，而且還沒有過期的話，Windows并不會發(fā)送這個報文，而是直接返回給調(diào)用者這個ARP表項的內(nèi)容。這樣一來，假設有計算機中途掉網(wǎng)，而它的ARP表項還沒有過期，那么這個程序仍然能夠得到它的IP到MAC的映射，自然也就會錯誤的宣稱這個IP地址還在使用中了。在運行這個程序前，我使用arp–d（事實上，在看了本文以后，你就可以實現(xiàn)一個這樣的arp程序了）這個命令來刪除緩沖中所有的ARP表項，然后得到的結果就非常準確了。IPHelperAPI提供了管理ARP緩沖的過程，所以我修改了這個程序，把arp–d的功能集成到了自己的程序中來。如果看看《使用TCP/IP協(xié)議實際網(wǎng)際互連（第二卷）》你就會明白ARP協(xié)議軟件中的諸多問題。

IPHelperAPIGetIpNetTable函數(shù)能夠提取出本機上的所有ARP表項。使用它的方法與上一篇文章中使用的函數(shù)相當?shù)念愃?，你也必須兩次使用它，第一次獲得緩沖的大小，而第二次獲得實際的ARP表。這個映射表是以數(shù)組的方式指出的。其結構如下：

typedefstruct_MIB_IPNETTABLE{

DWORDdwNumEntries;//數(shù)組的大小

MIB_IPNETROWtable[ANY_SIZE];//數(shù)組本身

}MIB_IPNETTABLE,*PMIB_IPNETTABLE;

而MIB_IPNETROW的定義：

typedefstruct_MIB_IPNETROW{

DWORDdwIndex;//網(wǎng)絡接口的索引號

DWORDdwPhysAddrLen;//物理地址長度

BYTEbPhysAddr[MAXLEN_PHYSADDR];//物理地址

DWORDdwAddr;//IP地址

DWORDdwType;//ARP表項類型

}MIB_IPNETROW,*PMIB_IPNETROW;

其中dwType即ARP表項類型是比較重要的東西，因為某些ARP表項一但設定就不再改變，比方本機地址的ARP表項和默認網(wǎng)關的地址表項等等，這些ARP表項并不會“過期”，除非網(wǎng)絡故障或者設置改變了以后，會重新生成一次ARP查詢。這種表項被稱為“靜態(tài)”的。此時dwType的值為4。在程序中，我們不必刪除這類表項（雖然刪了它們也不會造成什么后果）。

然而在實際的程序中，我使用了FlushIPNetTable這個函數(shù)來刪除特定網(wǎng)卡上的ARP緩沖。

然后是刪除一個表項的DeleteIpNetEntry，修改表項的SetIpNetEntry和添加表項的CreateIpNetEntry。還有兩個管理代理ARP表項的函數(shù)，關于代理ARP，可以看看《使用TCP/IP協(xié)議實現(xiàn)網(wǎng)際互連（第一卷）》關于ARP代理的部分，由于與我們的程序無關，就不做介紹了。

最后需要詳述的函數(shù)是SendARP。它的原型如下：

DWORDSendARP(

IPAddrDestIP,//目的IP地址

IPAddrSrcIP,//源IP地址，可選參數(shù)，把它填成0不會有問題

PULONGpMacAddr,//返回的物理地址

PULONGPhyAddrLen//物理地址的長度

);

相關軟件

瑞星防火墻

國內(nèi)老牌的安全軟件廠商。

風云防火墻

國內(nèi)防火墻新興力量，風云防火墻。風云防火墻將秉持自己的簡約而不簡單的核心開發(fā)思想，認真綜合、考慮用戶的建議，開發(fā)、整合適于當前網(wǎng)絡時代防火墻趨勢與理念的功能，為用戶提供防護優(yōu)秀、功能實用、操作簡單、占用資源低的風云防火墻。

奇虎360防火墻

360ARP防火墻通過在系統(tǒng)內(nèi)核層攔截ARP攻擊數(shù)據(jù)包，確保網(wǎng)關正確的MAC地址不被篡改，可以保障數(shù)據(jù)流向正確，不經(jīng)過第三者，從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡暢通、保證通訊數(shù)據(jù)不受第三者控制，完美的解決局域網(wǎng)內(nèi)ARP攻擊問題。

服務器安全狗-ARP防火墻

服務器安全狗是國內(nèi)首款支持Windows全系列操作系統(tǒng)（Windows2003/Windows2008 32位 64位）的基于內(nèi)核級的服務器安全防護軟件，軟件采用NDIS中間層驅(qū)動模式，從驅(qū)動層直接屏蔽攻擊，可以將針對服務器的攻擊帶來的損失降低到最小，最大程度地保護用戶服務器的安全。

彩影防火墻

ARP防火墻采用內(nèi)核層攔截技術和主動防御技術，幾大功能模塊（攔截ARP攻擊/攔截IP沖突/DoS攻擊抑制/安全模式/ARP數(shù)據(jù)分析/監(jiān)測ARP緩存/主動防御/追蹤攻擊源/查殺ARP病毒/系統(tǒng)時間保護/IE首頁保護/ARP緩存保護/自身進程保護/智能防御）互相配合，可徹底解決ARP相關問題，扼殺DoS攻擊源。

超級巡警

專門查殺并可輔助查殺各種木馬、流氓軟件、利用rootkit技術的各種后門和其它惡意代碼(間諜軟件、蠕蟲病毒)等等。提供了多種專業(yè)工具，提供系統(tǒng)/IE修復、隱私保護和安全優(yōu)化功能，提供了全面的系統(tǒng)監(jiān)測功能，使你對系統(tǒng)的變化了如指掌，配合手動分析可近100%的查殺未知惡意代碼！

金山防火墻

金山ARP防火墻能夠雙向攔截ARP欺騙攻擊包，監(jiān)測鎖定攻擊源，時刻保護局域網(wǎng)用戶PC的正常上網(wǎng)數(shù)據(jù)流向，是一款是適于個人用戶的反ARP欺騙保護工具！網(wǎng)關動態(tài)探測+識別——識破偽造的網(wǎng)關地址，動態(tài)獲取、并分析判斷后為受保護PC綁定正確的網(wǎng)關地址，從而時刻保障保護本機上網(wǎng)數(shù)據(jù)的正確流向。同時也支持用戶手動設置綁定網(wǎng)關地址。主動向真網(wǎng)關表明合法身份

雙向攔截ARP攻擊——外部攻擊、本機受感染攻擊均不影響使用

攔截來自外部接受或是由本機發(fā)出的ARP攻擊數(shù)據(jù)包并提醒用戶，保障本機及其它PC的網(wǎng)絡通暢。保護本機不受IP沖突攻擊的影響，擊源追蹤鎖定，抓住罪魁禍首。

攔截到ARP攻擊包后立即追蹤攻擊源，找出安全威脅源頭。

主動實時升級主動漏洞修復。讓受保護PC在局域網(wǎng)隱身，惡性攻擊無從下手獨有“安全桌面”：采用底層驅(qū)動技術特殊保護下的獨立空間，有效隔絕盜號木馬的各種攻擊，尤其適合進行全屏游戲的時候使用，并且和正常桌面之間的切換方便無門檻。當程序在密保的保護下運行時，如有其他程序?qū)ζ洚a(chǎn)生注入等可疑行為的時候，利用金山毒霸強大的互聯(lián)網(wǎng)可信認證技術，利用強大的后臺數(shù)據(jù)支持來判斷安全與否，從而最大程度的減少對用戶的騷擾，且更有利于攔截危險程序可疑行為攔截+互聯(lián)網(wǎng)可信認證

當程序在密保的保護下運行時，如有其他程序?qū)ζ洚a(chǎn)生注入等可疑行為的時候，利用金山毒霸強大的互聯(lián)網(wǎng)可信認證技術，利用強大的后臺數(shù)據(jù)支持來判斷安全與否，從而最大程度的減少對用戶的騷擾，且更有利于攔截危險程序。當程序在密保的保護下運行時，如有其他程序?qū)ζ洚a(chǎn)生注入等可疑行為的時候，利用金山毒霸強大的互聯(lián)網(wǎng)可信認證技術，利用強大的后臺數(shù)據(jù)支持來判斷安全與否，從而最大程度的減少對用戶的騷擾，且更有利于攔截危險程序。對被保護進程使用了進程隱藏功能之后，如同穿上了傳說中的隱身衣，這些進程將無法被Ring3層的其他程序所發(fā)現(xiàn)。從而加大了木馬查找并攻擊這些程序的難度。（注意：這個功能可能會導致某些使用了行為攔截技術的軟件誤報為Rootkit）。

軟件評測

在經(jīng)過一段時間的測評之后，經(jīng)驗是：如果操作系統(tǒng)是：windowsxp、windows2000、windows2003的話，最佳的選擇是風云防火墻。作為國內(nèi)新興的防火墻，風云操作簡單易用，即便是新手使用也不會感到吃力。除了可以為PC提供不錯的ARP防護外，還可以提供TCP/IP終止、SSL終止、URL過濾、請求分析、會話跟蹤等全面防護。如果操作系統(tǒng)是VISTA的話，最佳的選擇莫過于金山ARP防火墻了。金山ARP防火墻的安裝文件僅649K，資源占用區(qū)區(qū)752K，而ARP防護能力卻著實不弱，值得考慮。另外，彩影ARP防火墻個人版的ARP防護能力也不遜于金山ARP防火墻，只是安裝文件比金山的要大，內(nèi)存占用多一點。