之前的360安全卫士3.64beta版发布中就增加ARP防火墙功能,现在又单独推出了ARP防火墙,周鸿祎果然很有想法,安全卫士又瞄准了一个新的切入点。

ARP攻击防范并不是传统防火墙重视的领域,一般只能在比较高级的防火墙的功能列表里见到,国内有几款产品是针对这块市场的,例如彩影软件推出的ARP防火墙,风云防火墙免费版也提供这项功能,但是它们要么收费、要么不为人熟知。周鸿祎推出这个款小工具,一是避开了跟实力强大的安全公司直接竞争,二是可以利安全卫士的装机量优势战胜反ARP攻击领域的其他竞争者,稳稳抓住这块市场。

毫无疑问,这个工具的目标人群是饱受ARP攻击的局域网用户,尤其是网吧和教育网用户。从年龄上看,这部分用户大都是青年人,学生占相当比重,可以称作是成长性用户群,他们对网络比较熟悉,具有强大的潜在消费能力,抓住他们就是抓住了未来市场,这又将是周鸿祎的一个布局之作。

PS:也可以猜测一下开发者,估计是大学毕业不久,在学校时就是ARP攻击受害者。

背景资料:
1、什么是ARP
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。

2、ARP原理
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。一些局域网管理工具,如网络执法官、P2P剪刀手等就是利用了这个原理。

ARP防火墙就是能识别这种欺骗,找到真正的网关,达到保护上网的效果。

部分背景资料转自:

http://zhidao.baidu.com/question/27507017.html?si=1

标签:产品, 奇虎, 360

1 条评论

  1. 来看清爽的模板的
    喜欢~

    抱歉,我是闲者我也进来了。。呵呵

评论已关闭