详解ARP防火墙原理，菜鸟必看

屏气凝神

在局域网中如果时常上不了网，但是网络的连接正常，而局域网的网络情况却时好时坏，那么这很可能就是ARP欺骗已经发作的征兆。

                               

' a( E  W3 j3 m/ T1 ^ARP的内容和原理：

6 `; F# i  b" i  b

7 m) I0 `% ]' y# J: E& E- t: S                               

+ }0 U2 L. e' W5 z( `ARP的全称是：Address Resolution Protocol，也就是地址解析协议。顾名思义，其主要作用就是“地址解析”，即通过目标设备的IP地址，查询目标地址的MAC地址。

                               

在局域网中，如果要在两台主机之间进行通信，就必须要知道目标主机的IP地址，但是起到传输数据的物理设备网卡并不能直接识别IP地址，只能识别其硬件地址MAC地址，MAC地址是一个全球唯一的序列号并由12个16进制数构成。主机之间的通信，一般都是网卡之间的通信，而网卡之间的通信都是根据对方的MAC地址来进行工作的，而ARP协议就是一个将数据包中的IP地址转换为MAC地址的网络协议。

. \. _' v; @( s# F4 g0 n+ j                               
) M7 {6 q% j6 m' V9 i0 s6 i  B
ARP在局域网中的作用：

! }6 d9 n, D  x2 |/ O8 ]

0 F# @) H4 x5 U# ~& V0 u                               
' j3 M: i' F4 H" M" O
而在规模越来越庞大的局域网中，存在上百台主机已经很普及，如何在这么多的主机的MAC地址中，快速又准确的记住每个网卡对应的IP地址和MAC地址的对应关系，这就要依靠一个存在于所有主机中的ARP缓存表来进行记录。例如局域网中有A、B两台主机并通过交换机相连接，当A需要给B所在的IP地址发送数据时，A就要先查找自己的ARP缓存表，看其中是否存在这个IP的MAC地址，如果有就直接发送。如果没有，那么A就
要向整个局域网发送广播要求使用这个IP地址的主机进行响应，B收到广播后会向A返回一个响应信息，说明自己的MAC和A所要发送的IP地址是对应关系，而A收到B所返回的信息后会将这个IP和MAC进行记录，以后如果要再发送信息，则可以从ARP缓存表中直接查找并发送。

屏气凝神

ARP病毒的危害：
2 j: K9 B, N+ ^+ ^; Z- H
) g- m' x9 e0 y
8 l! |4 ?+ T3 l: k. \
                               

ARP缓存表记录了所有和和其宿主主机进行通讯过的其他电脑的MAC-IP对应关系，而漏洞也恰恰在此。如果局域网中的一台电脑进行欺骗性地使用自己的IP地址来冒充其他主机的MAC地址。比如：在B和C的通讯时，这时出现一台A机器，它告诉B说它就是C，结果B机器就认为它是C了，并且在B的缓存中，原先C的IP地址被对应到了A的MAC上。于是，本来要从B发送到C的消息就被发送到A机器上了，A机器实际上就发起了一次ARP欺骗。
& b6 _8 z$ i: R/ N7 G6 k
' Z1 [  W$ m. w  A  p; U9 i3 j3 t                               

ARP病毒就是利用上述原理来对整个局域网来进行破坏，其中除了使其他电脑上不了网之外，还可以利用自身“帮”网关转发信息的特权给数据包添加病毒代码。比如，用户打开一个本来正常的网页，但是由于ARP病毒的存在，这个原本正常的网页会带上若干恶意连接，使用户感染上病毒。

- A! C  p2 J; y1 q4 x3 m                               

ARP防护软件点评：
/ y6 N2 L* |  p. Y
9 H( \6 e9 r# K6 x1 h% z8 ~" w
伴随ARP欺骗的隐蔽性和广泛性，目前出现了多种可以防止ARP欺骗的软件，它们的工作原理一般有两种：第一种是拦截ARP的攻击或者是IP冲突，保障系统不会受ARP攻击的影响；第二种是防止恶意攻击程序篡改本机的ARP缓存表。

                               
- W/ B. I& W; R$ p5 ~- B
第一种方法可以通过广播指定IP地址正确的MAC地址，它能够立即解决ARP攻击引起的挂马、掉线等问题，但同时也会给网络带来一定的负载。第二种方法较为简单，不会对网路有什么影响，但防护效果较差。

                               

目前比较流行的ARP防护类软件有：AntiARP防火墙、瑞星个人防火墙2008、360ARP防火墙等，它们的工作原理无外乎上述两种。

屏气凝神

1、                                                AntiARP
! M& P% b) a' r
( g) \* ^; r* D2 Y

% |5 Y& H. t$ Y+ k                                       
. u3 i; W$ h& n, x- d9 F$ W4 S- f
AntiARP是目前使用比较广泛的ARP防护类软件，其默认的选项就可以有效防范一般的ARP欺骗攻击。在使用的时候应该特别注意一个问题：在AntiARP的“配置”中的“主动防御和跟踪”中进行设置时，如果勾选“主动防御”下“始终启用”可能会造成对整个局域网带来一定的负载，并且随“防御速度”的大小表现更为明显。强烈建议校园网用户不要开启此种防护。
4 h- i6 V0 w* M" G4 D' N7 n       
. R# w) N! k  ~2 o, O1 _$ v       

屏气凝神

2、                                                        瑞星个人防火墙2008
% G, B0 @* |7 D6 a8 N
, H+ J1 b4 m& o, {/ o' }) J1 l

                                       
6 x% o4 h% k; J' V" K+ d
瑞星个人防火墙2008是刚刚推出的，目前是免费的。值得一提的是，这个版本的防火墙也加入了ARP欺骗防护的功能。它同时采用了两种方法进行防护，效果较好。不过由于它也会通过广播的方式获取IP的正确MAC地址，所以也会提高网络的负荷，这一点使用时应注意通过设置避免。

                               

$ ]/ p+ W  s& T  w1 X默认情况下，ARP欺骗功能是没有开启的，需要自己在详细设置里把它打开。特别注意的是，和AntiARP一样，对于校园网用户强烈建议将防护范围设置为“指定的计算机”而不是“所有计算机”。由于ARP欺骗的原理，实际上在防护时只要把网关防护起来就足够了。另外，如果本机的IP地址是固定的，比如校园网，可以直接选择“拒绝IP地址冲突攻击”。
% y! z9 u, |6 C  ~9 l       
$ q+ ~9 N1 ?; v. q; k2 s       
3 t' o: K: _0 r( ~& ]
: U( q4 c; m/ I: b/ E

屏气凝神

3、                                                360ARP防火墙
       
       
* T) r0 i% m* ?/ m; G

" ~- e* F% |2 w& h8 W; y$ p1 `( S% x* N  q

奇虎也推出了自身的ARP防护软件：ARP防火墙。不过对于这个“防火墙”来说，它的主要功能主要是对主机的ARP缓存表进行保护，在实际使用过程中发现360防火墙并不能有效阻挡甚至发现ARP攻击，不知道是不是产品BUG。

                               
% r$ }8 z4 Y4 P  q
                                目前，在网上可以找到不少ARP类防护软件，但基本原理都相同，用户可以根据需要选择适合自己网络环境的ARP防火墙。