张微薇

摘 要：随着计算机技术的发展，社会即将进入一个全面网络时代，这也就意味着，网络安全将是人们越来越关注的话题。目前解决网络安全问题最普遍的方法是采取防火墙技术。因此，本文对防火墙技术进行研究，选取ARP防火墙作详细介绍。ARP基本功能是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。本文通过试用360ARP防火墙，来分析出ARP防火墙的工作原理、模块设计、功能特点等等。

关键词：ARP防火墙;非法监听;目标设备;工作原理

一、绪论

计算机技术的应用与发展促进了信息技术的变革，信息技术以其广泛的渗透力和亲和力，在方方面面影响着世界经济和社会发展。可以预言，今后几十年社会将进入一个全面网络时代，信息共享时代。然而，目前的网络也正在遭受很多威胁和攻击，网络中存在很多不安全的因素，诸如，黑客入侵、信息泄露等。

针对网络安全中面临的诸多威胁，研究者采取了多种措施进行防护。其中，最基本的防护即为网络防火墙防护[1]。在网络中，防火墙是一种将内部网和公众访问网分开的方法，实际是一种隔离技术。现如今，网络互连一般采用TCP/IP协议，而TCP/IP协议是一个工业标准的协议族，协议中存在很多的安全漏洞，致使网络极易受到黑客的攻击，而ARP攻击是其中比较常见的攻击手段之一。针对于此种情况，研究ARP协议的缺陷，开发ARP防火墙成为了一项至关重要的工作。本篇论文就是将这一技术做一简要分析，并以市面上运用很广的360ARP防火墙为例，来谈谈ARP防火墙。

二、ARP防火墙基本的概念

1.ARP协议

ARP，全名为AnEthernetAddressResolutionProtocol，以太网上的地址转换协议，通过遵循该协议，当知道了一台机器的IP地址，就可以得到其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议[2]。

2.RP攻击的原理

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。另一种是伪造网关，它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网，网络掉线了。

3.APR防火墙基本概念

ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者。从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制。包括拦截ARP攻击、拦截IP冲突、Dos攻击抑制、ARP数据分析、追踪攻击者、监测ARP缓存等功能。也就是说，ARP防火墙是一种通过在系统内核层拦截虚拟ARP数据包[3]，已保障我们在本机网关获得正确的MAC地址的工具。

三、基于软件分析ARP防火墙的相关原理

通过对ARP防火墙基础知识的了解，又在网上下载运用了360ARP防火墙，结合软件可以总结出以下知识。

1.360ARP防火墙的工作原理

当计算机发送ARP请求，监听ARP回答，并定期更新ARP高速缓存时，一个黑客或恶意攻击者完全可能发送一个带有欺骗性的ARP请求和回答，以至于改变另一个主机的ARP高速缓存中的地址映射（即IP与MAC的对应关系），使得该被攻击的主机在地址解析时发生错误结果，导致所封装的数据被发往黑客所希望的目的主机，从而使数据信息被劫取。

360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，完美的解决局域网内ARP攻击问题。

2.360ARP防火墙的模块设计

根据上述的ARP防火墙的原理，360ARP防火墙包括以下几个模块。

地址映射数据库管理模块是ARP防火墙的主要工作模块[6]。地址映射数据库是ARP防火墙的主要工作依据，所以防火墙中的地址映射数据模块便是对地址映射数据库进行管理，通过该模块可以实现对数据库中的动态表与静态表进行添加、删除和更改记录，从而为ARP防火墙的其他模块工作提供重要依据。

数据包采集模块是ARP防火墙工作的基础模块。通过该模块，ARP防火墙可以对网络中基于ARP协议进行传输数据的数据包进行采集，然后将采集到的数据包交到相应的检测模块进行地址验证。

首部检测模块是ARP防火墙重要的检测模块，通过对采集到的数据包进行首部的IP地址与其网卡地址进行检测，从而判断出该数据包是否合法，然后进行相应的处理。

3.360ARP防火墙的特点

内核层拦截本机对外发送ARP攻击，及时查杀本机ARP木马。在系统内核层直接拦截由ARP木马从本机对外发送的ARP攻击，提供本机木马病毒准确追踪和及时查杀，保持网络畅通及通讯安全。采取内核拦截技术，本机运行速度不受任何影响。

内核层拦截外部对本机ARP攻击，追踪攻击者。发现攻击行为后，自动定位到攻击者IP地址和攻击机器名，有些网络条件下可能获取不成功。

可自定义需要保护的网关，经常在多个网络环境中切换均可相熟保护。如果在多个网络环境中切换，可以将这些网络环境对应的网关均添加到保护列表中，全面保护各个网络环境中不受ARP攻击，更畅快方便。

动态显示ARP攻击状态，方便及时定位攻击来源。在ARP防火墙主界面显示ARP攻击状态，更方便及时定位当前攻击状况。

四、总结

经过使用软件，不难发现，ARP防火墙是可以抵挡ARP攻击的。安装上了ARP防火墙之后，可以更好的进行保护，而且还能更好的进行缓存。文中所介绍的360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，完美的解决局域网内ARP攻击问题。现如今，随着更加完善的防御技术的不断出现、以及更加迅猛的网络技术的发展，防火墙安全性技术将会得到进一步的发展和提高。

参考文献：

[1] 敬会，罗保，浅谈防火墙的历史与发展.科技资讯，2010，（22）：24-25

[2] [美] D Plummer. An Ethernet Address Resolution Protocol.1998.5

[3] 邓书晶，防火墙及其集群相关技术浅析.计算机安全，2008，（10）：58-61

[4]孟晓明，基于ARP的网络欺骗的检测与防范[J].信息技术，2005，29（5）.

[5] 刘文涛，网络安全开发包详解[M].北京：电子工业出版社，2005.

[6] 楚狂等，网络安全与防火墙北京人民邮电出版社，1999.2