拒絕ＡＲＰ攻擊四款ＡＲＰ防火墻試用手記

ARP攻擊目前已經成為局域網的頭號殺手，許多局域網用戶都深受其害，談虎色變。許多安全軟件廠商也開始重視此問題，并紛紛開發了自己的ARP病毒防護工具。面對各種各樣的ARP病毒防火墻，消費者究竟應該如何選擇呢?

參評軟件

360ARP防火墻：通過在系統內核層攔截ARP攻擊數據包，確保網關正確的MAc地址不被篡改，解決局域網內ARP攻擊問題。

彩影ARP防火墻：可查殺正在對外攻擊的ARP病毒，無需升級病毒庫特征，有效率非常高。

軟件易用性

許多普通用戶對ARP病毒到底是什么并沒弄清楚，因此ARP防火墻的操作難易程度，決定著用戶的選擇。

360ARP防火墻：安裝“360ARP防火墻beta2版”后需要重啟才能運行。打開軟件后，選擇“開啟”選項頁，點擊界面中的“開啟”按鈕，即可開啟360ARP防火墻防御功能，主動防御各種ARP病毒攻擊。

彩影ARP防火墻：運行“彩影ARP防火墻V5.0 beta1”，點擊“開始”按鈕，軟件即可自動檢測攔截到由病毒引起的本機對外的ARP攻擊。

金山ARP防火墻：“金山ARP防火墻beta”在安裝過程中，會暫時斷開網絡連接。安裝完畢后，運行“金山ARP防火墻beta”，在“監控狀態”選項頁中點擊“開啟”按鈕，即可自動檢測攔截ARP病毒攻擊。

瑞星ARP防火墻：安裝并運行瑞星防火墻2008，點擊菜單“設置／詳細設置”，打開設置對話框。在左側邊欄中選擇“ARP欺騙防御”功能項，勾選“啟用ARP欺騙防御”項，軟件提供了不少選項，在 “ARP靜態規則”中，需要逐一增加所有內網用戶的固定(靜態)IP到規則表里。

點評

360ARP防火墻、彩影ARP防火墻和金山ARP防火墻的安裝與使用都很簡單，無需用戶進行過多的設置。而瑞星ARP防火墻必須手工開啟，特別是設置ARP靜態規則肘，需要用戶手工一個個地輸入內網IP地址，操作起來非常麻煩。

ARP病毒攔截與清除功能

在本次測試中，我們以一款比較常見的ARP攻擊軟件

金山ARP防火墻：可阻止正在對外攻擊的ARP病毒，并通過在系統內核層攔截ARP攻擊數據包，可從攔截網絡行為人手，防御ARP病毒攻擊。

瑞星ARP防火墻：集成在瑞星防火墻中，可通過不斷的發送ARP請求，確認網關與主機正確的MAC地址，避免遭愛攻擊。“P2P終結者”，模擬本機的病毒攻擊測試。

360ARP防火墻：當ARP病毒發起攻擊，軟件界面中會顯示攔截記錄(如圖1)，并自動彈出攔截對話框。在界面中點擊“立即結束本進程”按鈕，或者在攔截窗口中點擊“結束發送攻擊源”按鈕，即可將病毒進程結束。ARP病毒進程被結束后，我們可以運行“360安全衛士v3.7”程序進行木馬掃描井查殺。

彩影ARP防火墻：彩影ARP防火墻可自動檢測攔截到由病毒引起的本機外對的ARP攻擊，攔截到攻擊后，選擇“安全事件”選項頁，在其中可查看到病毒攻擊的時間與病毒進程名(如圖2)。右鍵點擊該信息，在彈出菜單中選擇“查殺惡意程序”命令，在對話框中可查看到病毒進程的詳細信息，勾選右側的“終止進程”和“刪除文件”項，點擊確定按鈕，即可清除掉ARP病毒。如果病毒在注冊表或系統服務中添加了啟動項目，還可勾選“清除注冊表啟動項”和“清除系統服務啟動項”，將病毒啟動項目刪除掉。

金山ARP防火墻：如果本機上有ARP病毒發起攻擊，軟件會在系統托盤區彈出攔截提示框。選擇“監控日志”選項頁，即可查看詳細的攔截記錄攻擊數據信息。但是其中沒有病毒的詳細進程信息，因此查殺起來比較麻煩。

瑞星ARP防火墻：讓人吃驚的是，我們在使用瑞星ARP防火墻保護系統時，進行病毒攻擊模擬測試，只是彈出了一個程序訪問網絡的對話框，而沒有任何ARP攻擊的提示!對于普通用戶來說，沒有顯示ARP攻擊的提示，用戶很難判斷此程序是否有害!

點評

在ARP病毒的攔截功能方面，360ARP防火墻、彩影ARP防火墻和金山ARP防火墻都及時彈出了ARP攻擊提示；而瑞星防火墻表現則難以讓人滿意。在清除ARP病毒時，彩影ARP防火墻最為方便直觀； 360ARP防火墻可以終止ARP病毒進程，但需借助360安全衛士進行查殺；金山ARP防火墻沒有顯示病毒進程及相關信息，不太方便。

ARP攻擊防御能力

針對ARP協議的病毒攻擊方式比較多，2007年出現了很多新型ARP欺騙攻擊，可劫持網絡數據，導致整個局域網中的用戶欺騙訪問病毒網頁，因此ARP防火墻的主動防御功能是否強大，決定著用戶的安全。

360ARP防火墻：選擇“設置／自動獲取并保護網關”項，軟件會自動掃描獲取網關的IP地址和MAC地址井進行保護；也可以選擇“手工設置網關地址”項，輸人網關的IP地址及MAC地址(MAC地址可自動獲取)。對網關的IP地址與MAc地址全面保護后，結合軟件ARP攻擊攔截檢測功能，整體防護功能比較全面。

彩影ARP防火墻：它的保護功能比較強，在設置對話框中選擇“路由”選項，勾選其中的“當檢測到來自非可信路由的IP包時啟動主動防御”項，以保證IP包均來自網關，防范ARP欺騙攻擊。再選擇“防御”選項頁，將主動防御功能設置為“警戒”，并勾選“智能防御模式，檢測到異常時自動啟動”項，即可在安全防御ARP病毒攻擊的同時，減少防御功能對系統資源的占用。此外，在“攻擊攔截”選項頁中，還可以攔截本機對外的DDOS攻擊、抑制ARP包發送，還可設置為安全模式，阻止一切來源于局域網內其它主機的不安全網絡數據交換。

金山ARP防火墻：可手工設置對網關進行保護。在“ARP安全設置”對話框中勾選“實時通知網關”項，可以發送ARP請求，保證網關的可靠性。勾選“啟用安全模式”，即可阻止一切來源于局域網內其它主機的不安全網絡數據交換，防止其它類型的ARP攻擊。

瑞星ARP防火墻：在實際的使用過程中，瑞星ARP防火墻會產生很大的網絡流量，特別是在大中型局域網中，有可能造成路由器或交換機重啟斷流等現象。不少大學和大型機構已經證明了這是一個設計缺陷，但目前瑞星方面尚無任何修復的動作。