卡卡網(wǎng)

局域網(wǎng)用戶經(jīng)常抱怨，有人在使用P2P控制網(wǎng)速，令自己的網(wǎng)速上不去，流量被限制的死死的，但又沒(méi)有辦法對(duì)付他。

無(wú)論是在校生、上班族、還是網(wǎng)吧用戶，一定都遇到過(guò)令人怒不可遏的局域網(wǎng)ARP攻擊，在打開(kāi)網(wǎng)頁(yè)時(shí)奇慢無(wú)比，要么就是在訪問(wèn)任何網(wǎng)址時(shí)都會(huì)遇到掛馬網(wǎng)頁(yè)，甚至很多人會(huì)直接使用P2P終結(jié)者之類的工具、利用ARP攻擊來(lái)對(duì)其他電腦進(jìn)行網(wǎng)絡(luò)限速。

為了保護(hù)局域網(wǎng)用戶能夠安全、流暢地上網(wǎng)，360安全衛(wèi)士近日針對(duì)ARP防火墻進(jìn)行了大幅優(yōu)化，主要更新了核心保護(hù)機(jī)制，對(duì)于ARP攻擊的防護(hù)能力進(jìn)一步加強(qiáng)。特別是最近一段時(shí)間，一個(gè)名為“諜客”的病毒利用ARP攻擊在局域網(wǎng)大幅擴(kuò)散，一臺(tái)電腦中招即會(huì)導(dǎo)致整個(gè)網(wǎng)段遭殃，360ARP防火墻就能夠攔截此類ARP病毒。

注意，ARP防火墻集成在360安全衛(wèi)士“木馬防火墻”中，默認(rèn)設(shè)置為“關(guān)閉”，局域網(wǎng)中的用戶可以手動(dòng)開(kāi)啟，就能夠保護(hù)自己的網(wǎng)速不被ARP攻擊拖慢了。使用P2P終結(jié)者的測(cè)試結(jié)果表明，在開(kāi)啟360ARP防火墻的情況下，用戶電腦能夠完全防御P2P終結(jié)者的ARP攻擊，保證網(wǎng)速飛快如常。

360安全衛(wèi)士7.5Beta版ARP防火墻功能更新如下：

-強(qiáng)化網(wǎng)關(guān)檢測(cè)機(jī)制

-加入休眠/待機(jī)/登陸切換的檢測(cè)

-強(qiáng)化路由IP沖突時(shí)的檢測(cè)機(jī)制

-性能優(yōu)化

知識(shí)擴(kuò)展

什么是ARP欺騙

ARP欺騙原理，ARP（Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。

ARP具體說(shuō)來(lái)就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）的MAC地址。

 正常情況下，當(dāng)A要發(fā)給數(shù)據(jù)B的時(shí)候，就會(huì)先去查詢本地的ARP緩存表，找到B的IP地址對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。則廣播A一個(gè)ARP請(qǐng)求報(bào)文（攜帶主機(jī)A的IP地址Ia——物理地址Pa），請(qǐng)求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求，但只有主機(jī)B識(shí)別自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。 ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。因此，當(dāng)局域網(wǎng)中的某臺(tái)機(jī)器B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而如果這個(gè)應(yīng)答是B冒充C偽造來(lái)的，即IP地址為C的IP，而MAC地址是偽造的，則當(dāng)A接收到B偽造的ARP應(yīng)答后，就會(huì)更新本地的ARP緩存，這樣在A看來(lái)C的IP地址沒(méi)有變，而它的MAC地址已經(jīng)不是原來(lái)那個(gè)了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。所以，那個(gè)偽造出來(lái)的MAC地址在A上被改變成一個(gè)不存在的MAC地址，這樣就會(huì)造成網(wǎng)絡(luò)不通，導(dǎo)致A不能Ping通C！這就是一個(gè)簡(jiǎn)單的ARP欺騙。

相關(guān)鏈接

如何防止p2p終結(jié)者對(duì)局域網(wǎng)網(wǎng)速的控制

現(xiàn)在有一些工具，例如p2p終結(jié)者，可以控制局域網(wǎng)電腦的網(wǎng)速，這一工具常常被一些人利用，控制著別人電腦的網(wǎng)速，做一些利己害人的事情，并且樂(lè)此不疲。

p2p終結(jié)者的原理是，利用ARP欺騙，它充當(dāng)了一個(gè)網(wǎng)關(guān)的角色，把一網(wǎng)段內(nèi)的所有計(jì)算機(jī)的數(shù)據(jù)欺騙過(guò)來(lái)，然后再進(jìn)行二次轉(zhuǎn)發(fā)出去。所有被控制計(jì)算機(jī)的數(shù)據(jù)以后都會(huì)先經(jīng)過(guò)這臺(tái)P2P主機(jī)然后，再轉(zhuǎn)到網(wǎng)關(guān)！

后來(lái)出了一款反p2p終結(jié)者的工具，可以防止p2p終結(jié)者控制局域網(wǎng)網(wǎng)速，但是我經(jīng)過(guò)測(cè)試，發(fā)現(xiàn)這個(gè)反p2p終結(jié)者工具只是執(zhí)行了清楚局域網(wǎng)p2p終結(jié)者的功能，過(guò)一段時(shí)間，就又被別人控制了網(wǎng)速，所以，不是很好用。

。。。