ARP攻击目前已经成为局域网的头号杀手,许多局域网用户都深受其害,谈虎色变。许多安全软件厂商也开始重视此问题,并纷纷开发了自己的ARP病毒防护工具。面对各种各样的ARP病毒防火墙,消费者究竟应该如何选择呢?
参评软件
360ARP防火墙:通过在系统内核层拦截ARP攻击数据包,确保网关正确的MAc地址不被篡改,解决局域网内ARP攻击问题。
彩影ARP防火墙:可查杀正在对外攻击的ARP病毒,无需升级病毒库特征,有效率非常高。
软件易用性
许多普通用户对ARP病毒到底是什么并没弄清楚,因此ARP防火墙的操作难易程度,决定着用户的选择。
360ARP防火墙:安装“360ARP防火墙beta2版”后需要重启才能运行。打开软件后,选择“开启”选项页,点击界面中的“开启”按钮,即可开启360ARP防火墙防御功能,主动防御各种ARP病毒攻击。
彩影ARP防火墙:运行“彩影ARP防火墙V5.0 beta1”,点击“开始”按钮,软件即可自动检测拦截到由病毒引起的本机对外的ARP攻击。
金山ARP防火墙:“金山ARP防火墙beta”在安装过程中,会暂时断开网络连接。安装完毕后,运行“金山ARP防火墙beta”,在“监控状态”选项页中点击“开启”按钮,即可自动检测拦截ARP病毒攻击。
瑞星ARP防火墙:安装并运行瑞星防火墙2008,点击菜单“设置/详细设置”,打开设置对话框。在左侧边栏中选择“ARP欺骗防御”功能项,勾选“启用ARP欺骗防御”项,软件提供了不少选项,在 “ARP静态规则”中,需要逐一增加所有内网用户的固定(静态)IP到规则表里。
点评
360ARP防火墙、彩影ARP防火墙和金山ARP防火墙的安装与使用都很简单,无需用户进行过多的设置。而瑞星ARP防火墙必须手工开启,特别是设置ARP静态规则肘,需要用户手工一个个地输入内网IP地址,操作起来非常麻烦。
ARP病毒拦截与清除功能
在本次测试中,我们以一款比较常见的ARP攻击软件
金山ARP防火墙:可阻止正在对外攻击的ARP病毒,并通过在系统内核层拦截ARP攻击数据包,可从拦截网络行为人手,防御ARP病毒攻击。
瑞星ARP防火墙:集成在瑞星防火墙中,可通过不断的发送ARP请求,确认网关与主机正确的MAC地址,避免遭爱攻击。“P2P终结者”,模拟本机的病毒攻击测试。
360ARP防火墙:当ARP病毒发起攻击,软件界面中会显示拦截记录(如图1),并自动弹出拦截对话框。在界面中点击“立即结束本进程”按钮,或者在拦截窗口中点击“结束发送攻击源”按钮,即可将病毒进程结束。ARP病毒进程被结束后,我们可以运行“360安全卫士v3.7”程序进行木马扫描井查杀。
彩影ARP防火墙:彩影ARP防火墙可自动检测拦截到由病毒引起的本机外对的ARP攻击,拦截到攻击后,选择“安全事件”选项页,在其中可查看到病毒攻击的时间与病毒进程名(如图2)。右键点击该信息,在弹出菜单中选择“查杀恶意程序”命令,在对话框中可查看到病毒进程的详细信息,勾选右侧的“终止进程”和“删除文件”项,点击确定按钮,即可清除掉ARP病毒。如果病毒在注册表或系统服务中添加了启动项目,还可勾选“清除注册表启动项”和“清除系统服务启动项”,将病毒启动项目删除掉。
金山ARP防火墙:如果本机上有ARP病毒发起攻击,软件会在系统托盘区弹出拦截提示框。选择“监控日志”选项页,即可查看详细的拦截记录攻击数据信息。但是其中没有病毒的详细进程信息,因此查杀起来比较麻烦。
瑞星ARP防火墙:让人吃惊的是,我们在使用瑞星ARP防火墙保护系统时,进行病毒攻击模拟测试,只是弹出了一个程序访问网络的对话框,而没有任何ARP攻击的提示!对于普通用户来说,没有显示ARP攻击的提示,用户很难判断此程序是否有害!
点评
在ARP病毒的拦截功能方面,360ARP防火墙、彩影ARP防火墙和金山ARP防火墙都及时弹出了ARP攻击提示;而瑞星防火墙表现则难以让人满意。在清除ARP病毒时,彩影ARP防火墙最为方便直观; 360ARP防火墙可以终止ARP病毒进程,但需借助360安全卫士进行查杀;金山ARP防火墙没有显示病毒进程及相关信息,不太方便。
ARP攻击防御能力
针对ARP协议的病毒攻击方式比较多,2007年出现了很多新型ARP欺骗攻击,可劫持网络数据,导致整个局域网中的用户欺骗访问病毒网页,因此ARP防火墙的主动防御功能是否强大,决定着用户的安全。
360ARP防火墙:选择“设置/自动获取并保护网关”项,软件会自动扫描获取网关的IP地址和MAC地址井进行保护;也可以选择“手工设置网关地址”项,输人网关的IP地址及MAC地址(MAC地址可自动获取)。对网关的IP地址与MAc地址全面保护后,结合软件ARP攻击拦截检测功能,整体防护功能比较全面。
彩影ARP防火墙:它的保护功能比较强,在设置对话框中选择“路由”选项,勾选其中的“当检测到来自非可信路由的IP包时启动主动防御”项,以保证IP包均来自网关,防范ARP欺骗攻击。再选择“防御”选项页,将主动防御功能设置为“警戒”,并勾选“智能防御模式,检测到异常时自动启动”项,即可在安全防御ARP病毒攻击的同时,减少防御功能对系统资源的占用。此外,在“攻击拦截”选项页中,还可以拦截本机对外的DDOS攻击、抑制ARP包发送,还可设置为安全模式,阻止一切来源于局域网内其它主机的不安全网络数据交换。
金山ARP防火墙:可手工设置对网关进行保护。在“ARP安全设置”对话框中勾选“实时通知网关”项,可以发送ARP请求,保证网关的可靠性。勾选“启用安全模式”,即可阻止一切来源于局域网内其它主机的不安全网络数据交换,防止其它类型的ARP攻击。
瑞星ARP防火墙:在实际的使用过程中,瑞星ARP防火墙会产生很大的网络流量,特别是在大中型局域网中,有可能造成路由器或交换机重启断流等现象。不少大学和大型机构已经证明了这是一个设计缺陷,但目前瑞星方面尚无任何修复的动作。