張微薇

摘 要：隨著計算機技術(shù)的發(fā)展，社會即將進入一個全面網(wǎng)絡(luò)時代，這也就意味著，網(wǎng)絡(luò)安全將是人們越來越關(guān)注的話題。目前解決網(wǎng)絡(luò)安全問題最普遍的方法是采取防火墻技術(shù)。因此，本文對防火墻技術(shù)進行研究，選取ARP防火墻作詳細介紹。ARP基本功能是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進行。本文通過試用360ARP防火墻，來分析出ARP防火墻的工作原理、模塊設(shè)計、功能特點等等。

關(guān)鍵詞：ARP防火墻;非法監(jiān)聽;目標(biāo)設(shè)備;工作原理

一、緒論

計算機技術(shù)的應(yīng)用與發(fā)展促進了信息技術(shù)的變革，信息技術(shù)以其廣泛的滲透力和親和力，在方方面面影響著世界經(jīng)濟和社會發(fā)展。可以預(yù)言，今后幾十年社會將進入一個全面網(wǎng)絡(luò)時代，信息共享時代。然而，目前的網(wǎng)絡(luò)也正在遭受很多威脅和攻擊，網(wǎng)絡(luò)中存在很多不安全的因素，諸如，黑客入侵、信息泄露等。

針對網(wǎng)絡(luò)安全中面臨的諸多威脅，研究者采取了多種措施進行防護。其中，最基本的防護即為網(wǎng)絡(luò)防火墻防護[1]。在網(wǎng)絡(luò)中，防火墻是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，實際是一種隔離技術(shù)?，F(xiàn)如今，網(wǎng)絡(luò)互連一般采用TCP/IP協(xié)議，而TCP/IP協(xié)議是一個工業(yè)標(biāo)準(zhǔn)的協(xié)議族，協(xié)議中存在很多的安全漏洞，致使網(wǎng)絡(luò)極易受到黑客的攻擊，而ARP攻擊是其中比較常見的攻擊手段之一。針對于此種情況，研究ARP協(xié)議的缺陷，開發(fā)ARP防火墻成為了一項至關(guān)重要的工作。本篇論文就是將這一技術(shù)做一簡要分析，并以市面上運用很廣的360ARP防火墻為例，來談?wù)凙RP防火墻。

二、ARP防火墻基本的概念

1.ARP協(xié)議

ARP，全名為AnEthernetAddressResolutionProtocol，以太網(wǎng)上的地址轉(zhuǎn)換協(xié)議，通過遵循該協(xié)議，當(dāng)知道了一臺機器的IP地址，就可以得到其物理地址。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個主機都分配了一個32位的IP地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標(biāo)識主機的一種邏輯地址。為了讓報文在物理網(wǎng)路上傳送，必須知道對方目的主機的物理地址。這就需要在互連層有一組服務(wù)將IP地址轉(zhuǎn)換為相應(yīng)物理地址，這組協(xié)議就是ARP協(xié)議[2]。

2.RP攻擊的原理

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。另一種是偽造網(wǎng)關(guān)，它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)，網(wǎng)絡(luò)掉線了。

3.APR防火墻基本概念

ARP防火墻通過在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包以及主動通告網(wǎng)關(guān)本機正確的MAC地址，可以保障數(shù)據(jù)流向正確，不經(jīng)過第三者。從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡(luò)暢通、保證通訊數(shù)據(jù)不受第三者控制。包括攔截ARP攻擊、攔截IP沖突、Dos攻擊抑制、ARP數(shù)據(jù)分析、追蹤攻擊者、監(jiān)測ARP緩存等功能。也就是說，ARP防火墻是一種通過在系統(tǒng)內(nèi)核層攔截虛擬ARP數(shù)據(jù)包[3]，已保障我們在本機網(wǎng)關(guān)獲得正確的MAC地址的工具。

三、基于軟件分析ARP防火墻的相關(guān)原理

通過對ARP防火墻基礎(chǔ)知識的了解，又在網(wǎng)上下載運用了360ARP防火墻，結(jié)合軟件可以總結(jié)出以下知識。

1.360ARP防火墻的工作原理

當(dāng)計算機發(fā)送ARP請求，監(jiān)聽ARP回答，并定期更新ARP高速緩存時，一個黑客或惡意攻擊者完全可能發(fā)送一個帶有欺騙性的ARP請求和回答，以至于改變另一個主機的ARP高速緩存中的地址映射（即IP與MAC的對應(yīng)關(guān)系），使得該被攻擊的主機在地址解析時發(fā)生錯誤結(jié)果，導(dǎo)致所封裝的數(shù)據(jù)被發(fā)往黑客所希望的目的主機，從而使數(shù)據(jù)信息被劫取。

360ARP防火墻通過在系統(tǒng)內(nèi)核層攔截ARP攻擊數(shù)據(jù)包，確保網(wǎng)關(guān)正確的MAC地址不被篡改，可以保障數(shù)據(jù)流向正確，不經(jīng)過第三者，從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡(luò)暢通、保證通訊數(shù)據(jù)不受第三者控制，完美的解決局域網(wǎng)內(nèi)ARP攻擊問題。

2.360ARP防火墻的模塊設(shè)計

根據(jù)上述的ARP防火墻的原理，360ARP防火墻包括以下幾個模塊。

地址映射數(shù)據(jù)庫管理模塊是ARP防火墻的主要工作模塊[6]。地址映射數(shù)據(jù)庫是ARP防火墻的主要工作依據(jù)，所以防火墻中的地址映射數(shù)據(jù)模塊便是對地址映射數(shù)據(jù)庫進行管理，通過該模塊可以實現(xiàn)對數(shù)據(jù)庫中的動態(tài)表與靜態(tài)表進行添加、刪除和更改記錄，從而為ARP防火墻的其他模塊工作提供重要依據(jù)。

數(shù)據(jù)包采集模塊是ARP防火墻工作的基礎(chǔ)模塊。通過該模塊，ARP防火墻可以對網(wǎng)絡(luò)中基于ARP協(xié)議進行傳輸數(shù)據(jù)的數(shù)據(jù)包進行采集，然后將采集到的數(shù)據(jù)包交到相應(yīng)的檢測模塊進行地址驗證。

首部檢測模塊是ARP防火墻重要的檢測模塊，通過對采集到的數(shù)據(jù)包進行首部的IP地址與其網(wǎng)卡地址進行檢測，從而判斷出該數(shù)據(jù)包是否合法，然后進行相應(yīng)的處理。

3.360ARP防火墻的特點

內(nèi)核層攔截本機對外發(fā)送ARP攻擊，及時查殺本機ARP木馬。在系統(tǒng)內(nèi)核層直接攔截由ARP木馬從本機對外發(fā)送的ARP攻擊，提供本機木馬病毒準(zhǔn)確追蹤和及時查殺，保持網(wǎng)絡(luò)暢通及通訊安全。采取內(nèi)核攔截技術(shù)，本機運行速度不受任何影響。

內(nèi)核層攔截外部對本機ARP攻擊，追蹤攻擊者。發(fā)現(xiàn)攻擊行為后，自動定位到攻擊者IP地址和攻擊機器名，有些網(wǎng)絡(luò)條件下可能獲取不成功。

可自定義需要保護的網(wǎng)關(guān)，經(jīng)常在多個網(wǎng)絡(luò)環(huán)境中切換均可相熟保護。如果在多個網(wǎng)絡(luò)環(huán)境中切換，可以將這些網(wǎng)絡(luò)環(huán)境對應(yīng)的網(wǎng)關(guān)均添加到保護列表中，全面保護各個網(wǎng)絡(luò)環(huán)境中不受ARP攻擊，更暢快方便。

動態(tài)顯示ARP攻擊狀態(tài)，方便及時定位攻擊來源。在ARP防火墻主界面顯示ARP攻擊狀態(tài)，更方便及時定位當(dāng)前攻擊狀況。

四、總結(jié)

經(jīng)過使用軟件，不難發(fā)現(xiàn)，ARP防火墻是可以抵擋ARP攻擊的。安裝上了ARP防火墻之后，可以更好的進行保護，而且還能更好的進行緩存。文中所介紹的360ARP防火墻通過在系統(tǒng)內(nèi)核層攔截ARP攻擊數(shù)據(jù)包，確保網(wǎng)關(guān)正確的MAC地址不被篡改，可以保障數(shù)據(jù)流向正確，不經(jīng)過第三者，從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡(luò)暢通、保證通訊數(shù)據(jù)不受第三者控制，完美的解決局域網(wǎng)內(nèi)ARP攻擊問題?，F(xiàn)如今，隨著更加完善的防御技術(shù)的不斷出現(xiàn)、以及更加迅猛的網(wǎng)絡(luò)技術(shù)的發(fā)展，防火墻安全性技術(shù)將會得到進一步的發(fā)展和提高。

參考文獻：

[1] 敬會，羅保，淺談防火墻的歷史與發(fā)展.科技資訊，2010，（22）：24-25

[2] [美] D Plummer. An Ethernet Address Resolution Protocol.1998.5

[3] 鄧書晶，防火墻及其集群相關(guān)技術(shù)淺析.計算機安全，2008，（10）：58-61

[4]孟曉明，基于ARP的網(wǎng)絡(luò)欺騙的檢測與防范[J].信息技術(shù)，2005，29（5）.

[5] 劉文濤，網(wǎng)絡(luò)安全開發(fā)包詳解[M].北京：電子工業(yè)出版社，2005.

[6] 楚狂等，網(wǎng)絡(luò)安全與防火墻北京人民郵電出版社，1999.2