張微薇

摘 要：隨著計(jì)算機(jī)技術(shù)的發(fā)展，社會(huì)即將進(jìn)入一個(gè)全面網(wǎng)絡(luò)時(shí)代，這也就意味著，網(wǎng)絡(luò)安全將是人們?cè)絹碓疥P(guān)注的話題。目前解決網(wǎng)絡(luò)安全問題最普遍的方法是采取防火墻技術(shù)。因此，本文對(duì)防火墻技術(shù)進(jìn)行研究，選取ARP防火墻作詳細(xì)介紹。ARP基本功能是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。本文通過試用360ARP防火墻，來分析出ARP防火墻的工作原理、模塊設(shè)計(jì)、功能特點(diǎn)等等。

關(guān)鍵詞：ARP防火墻;非法監(jiān)聽;目標(biāo)設(shè)備;工作原理

一、緒論

計(jì)算機(jī)技術(shù)的應(yīng)用與發(fā)展促進(jìn)了信息技術(shù)的變革，信息技術(shù)以其廣泛的滲透力和親和力，在方方面面影響著世界經(jīng)濟(jì)和社會(huì)發(fā)展。可以預(yù)言，今后幾十年社會(huì)將進(jìn)入一個(gè)全面網(wǎng)絡(luò)時(shí)代，信息共享時(shí)代。然而，目前的網(wǎng)絡(luò)也正在遭受很多威脅和攻擊，網(wǎng)絡(luò)中存在很多不安全的因素，諸如，黑客入侵、信息泄露等。

針對(duì)網(wǎng)絡(luò)安全中面臨的諸多威脅，研究者采取了多種措施進(jìn)行防護(hù)。其中，最基本的防護(hù)即為網(wǎng)絡(luò)防火墻防護(hù)[1]。在網(wǎng)絡(luò)中，防火墻是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，實(shí)際是一種隔離技術(shù)?，F(xiàn)如今，網(wǎng)絡(luò)互連一般采用TCP/IP協(xié)議，而TCP/IP協(xié)議是一個(gè)工業(yè)標(biāo)準(zhǔn)的協(xié)議族，協(xié)議中存在很多的安全漏洞，致使網(wǎng)絡(luò)極易受到黑客的攻擊，而ARP攻擊是其中比較常見的攻擊手段之一。針對(duì)于此種情況，研究ARP協(xié)議的缺陷，開發(fā)ARP防火墻成為了一項(xiàng)至關(guān)重要的工作。本篇論文就是將這一技術(shù)做一簡(jiǎn)要分析，并以市面上運(yùn)用很廣的360ARP防火墻為例，來談?wù)凙RP防火墻。

二、ARP防火墻基本的概念

1.ARP協(xié)議

ARP，全名為AnEthernetAddressResolutionProtocol，以太網(wǎng)上的地址轉(zhuǎn)換協(xié)議，通過遵循該協(xié)議，當(dāng)知道了一臺(tái)機(jī)器的IP地址，就可以得到其物理地址。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個(gè)主機(jī)都分配了一個(gè)32位的IP地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標(biāo)識(shí)主機(jī)的一種邏輯地址。為了讓報(bào)文在物理網(wǎng)路上傳送，必須知道對(duì)方目的主機(jī)的物理地址。這就需要在互連層有一組服務(wù)將IP地址轉(zhuǎn)換為相應(yīng)物理地址，這組協(xié)議就是ARP協(xié)議[2]。

2.RP攻擊的原理

ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。另一種是偽造網(wǎng)關(guān)，它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)，網(wǎng)絡(luò)掉線了。

3.APR防火墻基本概念

ARP防火墻通過在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包以及主動(dòng)通告網(wǎng)關(guān)本機(jī)正確的MAC地址，可以保障數(shù)據(jù)流向正確，不經(jīng)過第三者。從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡(luò)暢通、保證通訊數(shù)據(jù)不受第三者控制。包括攔截ARP攻擊、攔截IP沖突、Dos攻擊抑制、ARP數(shù)據(jù)分析、追蹤攻擊者、監(jiān)測(cè)ARP緩存等功能。也就是說，ARP防火墻是一種通過在系統(tǒng)內(nèi)核層攔截虛擬ARP數(shù)據(jù)包[3]，已保障我們?cè)诒緳C(jī)網(wǎng)關(guān)獲得正確的MAC地址的工具。

三、基于軟件分析ARP防火墻的相關(guān)原理

通過對(duì)ARP防火墻基礎(chǔ)知識(shí)的了解，又在網(wǎng)上下載運(yùn)用了360ARP防火墻，結(jié)合軟件可以總結(jié)出以下知識(shí)。

1.360ARP防火墻的工作原理

當(dāng)計(jì)算機(jī)發(fā)送ARP請(qǐng)求，監(jiān)聽ARP回答，并定期更新ARP高速緩存時(shí)，一個(gè)黑客或惡意攻擊者完全可能發(fā)送一個(gè)帶有欺騙性的ARP請(qǐng)求和回答，以至于改變另一個(gè)主機(jī)的ARP高速緩存中的地址映射（即IP與MAC的對(duì)應(yīng)關(guān)系），使得該被攻擊的主機(jī)在地址解析時(shí)發(fā)生錯(cuò)誤結(jié)果，導(dǎo)致所封裝的數(shù)據(jù)被發(fā)往黑客所希望的目的主機(jī)，從而使數(shù)據(jù)信息被劫取。

360ARP防火墻通過在系統(tǒng)內(nèi)核層攔截ARP攻擊數(shù)據(jù)包，確保網(wǎng)關(guān)正確的MAC地址不被篡改，可以保障數(shù)據(jù)流向正確，不經(jīng)過第三者，從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡(luò)暢通、保證通訊數(shù)據(jù)不受第三者控制，完美的解決局域網(wǎng)內(nèi)ARP攻擊問題。

2.360ARP防火墻的模塊設(shè)計(jì)

根據(jù)上述的ARP防火墻的原理，360ARP防火墻包括以下幾個(gè)模塊。

地址映射數(shù)據(jù)庫管理模塊是ARP防火墻的主要工作模塊[6]。地址映射數(shù)據(jù)庫是ARP防火墻的主要工作依據(jù)，所以防火墻中的地址映射數(shù)據(jù)模塊便是對(duì)地址映射數(shù)據(jù)庫進(jìn)行管理，通過該模塊可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫中的動(dòng)態(tài)表與靜態(tài)表進(jìn)行添加、刪除和更改記錄，從而為ARP防火墻的其他模塊工作提供重要依據(jù)。

數(shù)據(jù)包采集模塊是ARP防火墻工作的基礎(chǔ)模塊。通過該模塊，ARP防火墻可以對(duì)網(wǎng)絡(luò)中基于ARP協(xié)議進(jìn)行傳輸數(shù)據(jù)的數(shù)據(jù)包進(jìn)行采集，然后將采集到的數(shù)據(jù)包交到相應(yīng)的檢測(cè)模塊進(jìn)行地址驗(yàn)證。

首部檢測(cè)模塊是ARP防火墻重要的檢測(cè)模塊，通過對(duì)采集到的數(shù)據(jù)包進(jìn)行首部的IP地址與其網(wǎng)卡地址進(jìn)行檢測(cè)，從而判斷出該數(shù)據(jù)包是否合法，然后進(jìn)行相應(yīng)的處理。

3.360ARP防火墻的特點(diǎn)

內(nèi)核層攔截本機(jī)對(duì)外發(fā)送ARP攻擊，及時(shí)查殺本機(jī)ARP木馬。在系統(tǒng)內(nèi)核層直接攔截由ARP木馬從本機(jī)對(duì)外發(fā)送的ARP攻擊，提供本機(jī)木馬病毒準(zhǔn)確追蹤和及時(shí)查殺，保持網(wǎng)絡(luò)暢通及通訊安全。采取內(nèi)核攔截技術(shù)，本機(jī)運(yùn)行速度不受任何影響。

內(nèi)核層攔截外部對(duì)本機(jī)ARP攻擊，追蹤攻擊者。發(fā)現(xiàn)攻擊行為后，自動(dòng)定位到攻擊者IP地址和攻擊機(jī)器名，有些網(wǎng)絡(luò)條件下可能獲取不成功。

可自定義需要保護(hù)的網(wǎng)關(guān)，經(jīng)常在多個(gè)網(wǎng)絡(luò)環(huán)境中切換均可相熟保護(hù)。如果在多個(gè)網(wǎng)絡(luò)環(huán)境中切換，可以將這些網(wǎng)絡(luò)環(huán)境對(duì)應(yīng)的網(wǎng)關(guān)均添加到保護(hù)列表中，全面保護(hù)各個(gè)網(wǎng)絡(luò)環(huán)境中不受ARP攻擊，更暢快方便。

動(dòng)態(tài)顯示ARP攻擊狀態(tài)，方便及時(shí)定位攻擊來源。在ARP防火墻主界面顯示ARP攻擊狀態(tài)，更方便及時(shí)定位當(dāng)前攻擊狀況。

四、總結(jié)

經(jīng)過使用軟件，不難發(fā)現(xiàn)，ARP防火墻是可以抵擋ARP攻擊的。安裝上了ARP防火墻之后，可以更好的進(jìn)行保護(hù)，而且還能更好的進(jìn)行緩存。文中所介紹的360ARP防火墻通過在系統(tǒng)內(nèi)核層攔截ARP攻擊數(shù)據(jù)包，確保網(wǎng)關(guān)正確的MAC地址不被篡改，可以保障數(shù)據(jù)流向正確，不經(jīng)過第三者，從而保證通訊數(shù)據(jù)安全、保證網(wǎng)絡(luò)暢通、保證通訊數(shù)據(jù)不受第三者控制，完美的解決局域網(wǎng)內(nèi)ARP攻擊問題。現(xiàn)如今，隨著更加完善的防御技術(shù)的不斷出現(xiàn)、以及更加迅猛的網(wǎng)絡(luò)技術(shù)的發(fā)展，防火墻安全性技術(shù)將會(huì)得到進(jìn)一步的發(fā)展和提高。

參考文獻(xiàn)：

[1] 敬會(huì)，羅保，淺談防火墻的歷史與發(fā)展.科技資訊，2010，（22）：24-25

[2] [美] D Plummer. An Ethernet Address Resolution Protocol.1998.5

[3] 鄧書晶，防火墻及其集群相關(guān)技術(shù)淺析.計(jì)算機(jī)安全，2008，（10）：58-61

[4]孟曉明，基于ARP的網(wǎng)絡(luò)欺騙的檢測(cè)與防范[J].信息技術(shù)，2005，29（5）.

[5] 劉文濤，網(wǎng)絡(luò)安全開發(fā)包詳解[M].北京：電子工業(yè)出版社，2005.

[6] 楚狂等，網(wǎng)絡(luò)安全與防火墻北京人民郵電出版社，1999.2