ARP防火墻應用技術的研究與實現

張微薇

摘 要：隨著計算機技術的發展，社會即將進入一個全面網絡時代，這也就意味著，網絡安全將是人們越來越關注的話題。目前解決網絡安全問題最普遍的方法是采取防火墻技術。因此，本文對防火墻技術進行研究，選取ARP防火墻作詳細介紹。ARP基本功能是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。本文通過試用360ARP防火墻，來分析出ARP防火墻的工作原理、模塊設計、功能特點等等。

關鍵詞：ARP防火墻;非法監聽;目標設備;工作原理

一、緒論

計算機技術的應用與發展促進了信息技術的變革，信息技術以其廣泛的滲透力和親和力，在方方面面影響著世界經濟和社會發展。可以預言，今后幾十年社會將進入一個全面網絡時代，信息共享時代。然而，目前的網絡也正在遭受很多威脅和攻擊，網絡中存在很多不安全的因素，諸如，黑客入侵、信息泄露等。

針對網絡安全中面臨的諸多威脅，研究者采取了多種措施進行防護。其中，最基本的防護即為網絡防火墻防護[1]。在網絡中，防火墻是一種將內部網和公眾訪問網分開的方法，實際是一種隔離技術。現如今，網絡互連一般采用TCP/IP協議，而TCP/IP協議是一個工業標準的協議族，協議中存在很多的安全漏洞，致使網絡極易受到黑客的攻擊，而ARP攻擊是其中比較常見的攻擊手段之一。針對于此種情況，研究ARP協議的缺陷，開發ARP防火墻成為了一項至關重要的工作。本篇論文就是將這一技術做一簡要分析，并以市面上運用很廣的360ARP防火墻為例，來談談ARP防火墻。

二、ARP防火墻基本的概念

1.ARP協議

ARP，全名為AnEthernetAddressResolutionProtocol，以太網上的地址轉換協議，通過遵循該協議，當知道了一臺機器的IP地址，就可以得到其物理地址。在TCP/IP網絡環境下，每個主機都分配了一個32位的IP地址，這種互聯網地址是在網際范圍標識主機的一種邏輯地址。為了讓報文在物理網路上傳送，必須知道對方目的主機的物理地址。這就需要在互連層有一組服務將IP地址轉換為相應物理地址，這組協議就是ARP協議[2]。

2.RP攻擊的原理

ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

從影響網絡連接通暢的方式來看，ARP欺騙分為二種，一種是截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。另一種是偽造網關，它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網，網絡掉線了。

3.APR防火墻基本概念

ARP防火墻通過在系統內核層攔截虛假ARP數據包以及主動通告網關本機正確的MAC地址，可以保障數據流向正確，不經過第三者。從而保證通訊數據安全、保證網絡暢通、保證通訊數據不受第三者控制。包括攔截ARP攻擊、攔截IP沖突、Dos攻擊抑制、ARP數據分析、追蹤攻擊者、監測ARP緩存等功能。也就是說，ARP防火墻是一種通過在系統內核層攔截虛擬ARP數據包[3]，已保障我們在本機網關獲得正確的MAC地址的工具。

三、基于軟件分析ARP防火墻的相關原理

通過對ARP防火墻基礎知識的了解，又在網上下載運用了360ARP防火墻，結合軟件可以總結出以下知識。

1.360ARP防火墻的工作原理

當計算機發送ARP請求，監聽ARP回答，并定期更新ARP高速緩存時，一個黑客或惡意攻擊者完全可能發送一個帶有欺騙性的ARP請求和回答，以至于改變另一個主機的ARP高速緩存中的地址映射（即IP與MAC的對應關系），使得該被攻擊的主機在地址解析時發生錯誤結果，導致所封裝的數據被發往黑客所希望的目的主機，從而使數據信息被劫取。

360ARP防火墻通過在系統內核層攔截ARP攻擊數據包，確保網關正確的MAC地址不被篡改，可以保障數據流向正確，不經過第三者，從而保證通訊數據安全、保證網絡暢通、保證通訊數據不受第三者控制，完美的解決局域網內ARP攻擊問題。

2.360ARP防火墻的模塊設計

根據上述的ARP防火墻的原理，360ARP防火墻包括以下幾個模塊。

地址映射數據庫管理模塊是ARP防火墻的主要工作模塊[6]。地址映射數據庫是ARP防火墻的主要工作依據，所以防火墻中的地址映射數據模塊便是對地址映射數據庫進行管理，通過該模塊可以實現對數據庫中的動態表與靜態表進行添加、刪除和更改記錄，從而為ARP防火墻的其他模塊工作提供重要依據。

數據包采集模塊是ARP防火墻工作的基礎模塊。通過該模塊，ARP防火墻可以對網絡中基于ARP協議進行傳輸數據的數據包進行采集，然后將采集到的數據包交到相應的檢測模塊進行地址驗證。

首部檢測模塊是ARP防火墻重要的檢測模塊，通過對采集到的數據包進行首部的IP地址與其網卡地址進行檢測，從而判斷出該數據包是否合法，然后進行相應的處理。

3.360ARP防火墻的特點

內核層攔截本機對外發送ARP攻擊，及時查殺本機ARP木馬。在系統內核層直接攔截由ARP木馬從本機對外發送的ARP攻擊，提供本機木馬病毒準確追蹤和及時查殺，保持網絡暢通及通訊安全。采取內核攔截技術，本機運行速度不受任何影響。

內核層攔截外部對本機ARP攻擊，追蹤攻擊者。發現攻擊行為后，自動定位到攻擊者IP地址和攻擊機器名，有些網絡條件下可能獲取不成功。

可自定義需要保護的網關，經常在多個網絡環境中切換均可相熟保護。如果在多個網絡環境中切換，可以將這些網絡環境對應的網關均添加到保護列表中，全面保護各個網絡環境中不受ARP攻擊，更暢快方便。

動態顯示ARP攻擊狀態，方便及時定位攻擊來源。在ARP防火墻主界面顯示ARP攻擊狀態，更方便及時定位當前攻擊狀況。

四、總結

經過使用軟件，不難發現，ARP防火墻是可以抵擋ARP攻擊的。安裝上了ARP防火墻之后，可以更好的進行保護，而且還能更好的進行緩存。文中所介紹的360ARP防火墻通過在系統內核層攔截ARP攻擊數據包，確保網關正確的MAC地址不被篡改，可以保障數據流向正確，不經過第三者，從而保證通訊數據安全、保證網絡暢通、保證通訊數據不受第三者控制，完美的解決局域網內ARP攻擊問題。現如今，隨著更加完善的防御技術的不斷出現、以及更加迅猛的網絡技術的發展，防火墻安全性技術將會得到進一步的發展和提高。

參考文獻：

[1] 敬會，羅保，淺談防火墻的歷史與發展.科技資訊，2010，（22）：24-25

[2] [美] D Plummer. An Ethernet Address Resolution Protocol.1998.5

[3] 鄧書晶，防火墻及其集群相關技術淺析.計算機安全，2008，（10）：58-61

[4]孟曉明，基于ARP的網絡欺騙的檢測與防范[J].信息技術，2005，29（5）.

[5] 劉文濤，網絡安全開發包詳解[M].北京：電子工業出版社，2005.

[6] 楚狂等，網絡安全與防火墻北京人民郵電出版社，1999.2