拒绝ＡＲＰ攻击四款ＡＲＰ防火墙试用手记.docVIP

拒绝ＡＲＰ攻击四款ＡＲＰ防火墙试用手记 　　ARP攻击目前已经成为局域网的头号杀手，许多局域网用户都深受其害，谈虎色变。许多安全软件厂商也开始重视此问题，并纷纷开发了自己的ARP病毒防护工具。面对各种各样的ARP病毒防火墙，消费者究竟应该如何选择呢? 　　 　　参评软件 　　 　　360ARP防火墙：通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAc地址不被篡改，解决局域网内ARP攻击问题。 　　彩影ARP防火墙：可查杀正在对外攻击的ARP病毒，无需升级病毒库特征，有效率非常高。 　　 　　软件易用性 　　 　　许多普通用户对ARP病毒到底是什么并没弄清楚，因此ARP防火墙的操作难易程度，决定着用户的选择。 　　360ARP防火墙：安装“360ARP防火墙beta2版”后需要重启才能运行。打开软件后，选择“开启”选项页，点击界面中的“开启”按钮，即可开启360ARP防火墙防御功能，主动防御各种ARP病毒攻击。 　　彩影ARP防火墙：运行“彩影ARP防火墙V5.0 beta1”，点击“开始”按钮，软件即可自动检测拦截到由病毒引起的本机对外的ARP攻击。 　　 　　金山ARP防火墙：“金山ARP防火墙beta”在安装过程中，会暂时断开网络连接。安装完毕后，运行“金山ARP防火墙beta”，在“监控状态”选项页中点击“开启”按钮，即可自动检测拦截ARP病毒攻击。 　　瑞星ARP防火墙：安装并运行瑞星防火墙2008，点击菜单“设置／详细设置”，打开设置对话框。在左侧边栏中选择“ARP欺骗防御”功能项，勾选“启用ARP欺骗防御”项，软件提供了不少选项，在 “ARP静态规则”中，需要逐一增加所有内网用户的固定(静态)IP到规则表里。 　　 　　点评 　　 　　360ARP防火墙、彩影ARP防火墙和金山ARP防火墙的安装与使用都很简单，无需用户进行过多的设置。而瑞星ARP防火墙必须手工开启，特别是设置ARP静态规则肘，需要用户手工一个个地输入内网IP地址，操作起来非常麻烦。 　　 　　ARP病毒拦截与清除功能 　　 　　在本次测试中，我们以一款比较常见的ARP攻击软件 　　金山ARP防火墙：可阻止正在对外攻击的ARP病毒，并通过在系统内核层拦截ARP攻击数据包，可从拦截网络行为人手，防御ARP病毒攻击。 　　 　　瑞星ARP防火墙：集成在瑞星防火墙中，可通过不断的发送ARP请求，确认网关与主机正确的MAC地址，避免遭爱攻击。“P2P终结者”，模拟本机的病毒攻击测试。 　　360ARP防火墙：当ARP病毒发起攻击，软件界面中会显示拦截记录(如图1)，并自动弹出拦截对话框。在界面中点击“立即结束本进程”按钮，或者在拦截窗口中点击“结束发送攻击源”按钮，即可将病毒进程结束。ARP病毒进程被结束后，我们可以运行“360安全卫士v3.7”程序进行木马扫描井查杀。 　　彩影ARP防火墙：彩影ARP防火墙可自动检测拦截到由病毒引起的本机外对的ARP攻击，拦截到攻击后，选择“安全事件”选项页，在其中可查看到病毒攻击的时间与病毒进程名(如图2)。右键点击该信息，在弹出菜单中选择“查杀恶意程序”命令，在对话框中可查看到病毒进程的详细信息，勾选右侧的“终止进程”和“删除文件”项，点击确定按钮，即可清除掉ARP病毒。如果病毒在注册表或系统服务中添加了启动项目，还可勾选“清除注册表启动项”和“清除系统服务启动项”，将病毒启动项目删除掉。 　　金山ARP防火墙：如果本机上有ARP病毒发起攻击，软件会在系统托盘区弹出拦截提示框。选择“监控日志”选项页，即可查看详细的拦截记录攻击数据信息。但是其中没有病毒的详细进程信息，因此查杀起来比较麻烦。 　　瑞星ARP防火墙：让人吃惊的是，我们在使用瑞星ARP防火墙保护系统时，进行病毒攻击模拟测试，只是弹出了一个程序访问网络的对话框，而没有任何ARP攻击的提示!对于普通用户来说，没有显示ARP攻击的提示，用户很难判断此程序是否有害! 　　 　　点评 　　 　　在ARP病毒的拦截功能方面，360ARP防火墙、彩影ARP防火墙和金山ARP防火墙都及时弹出了ARP攻击提示；而瑞星防火墙表现则难以让人满意。在清除ARP病毒时，彩影ARP防火墙最为方便直观； 360ARP防火墙可以终止ARP病毒进程，但需借助360安全卫士进行查杀；金山ARP防火墙没有显示病毒进程及相关信息，不太方便。 　　 　　ARP攻击防御能力 　　 　　针对ARP协议的病毒攻击方式比较多，2007年出现了很多新型ARP欺骗攻击，可劫持网络数据，导致整个局域网中的用户欺骗访问病毒网页，因此ARP防火墙的主动防御功能是否强大，决定着用户的安全。 　　360ARP防火墙：选择“设置／自动获取