360AntiARP ARP防火墙发布

360AntiARP ARP防火墙发布
360AntiARP ARP防火墙发布


360AntiARP ARP防火墙发布可在核心层直接拦截ARP攻击包并阻止攻击
高效拦截ARP攻击

奇虎ARP防火墙（测试版）是奇虎360推出的系列安全小工具之一，专门针对局域网内ARP攻击进行拦截，是比较有效的ARP攻击拦截工具之一。
安装并开启奇虎ARP防火墙后将会立即对您的系统提供保护（仅针对ARP病毒攻击，无法替代360安全卫士保护功能），当检测到ARP攻击时将会划出提示信息，建议您与所在网段的网管进行联系，排查局域网中中毒机器。



360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，完美的解决局域网内ARP攻击问题。

360ARP防火墙特色：
1. 内核层拦截ARP攻击
在系统内核层拦截外部ARP攻击数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全
采用内核拦截技术，本机运行速度不受任何影响
2. 追踪攻击者
发现攻击行为后，自动定位到攻击者IP地址和攻击机器名（有些网络条件下可能获取不成功）
3. ARP缓存保护
防止恶意攻击程序篡改本机ARP缓存


迎国庆测试版下载：http://dl.360safe.com/360AntiArp.exe

国庆后将增加更多功能，包括Anti-Flood 防ARP洪水攻击等 敬请期待

和以往的fw不同的是
1.Hook的是Tcpip.sys的IAT里的NdisRegisterProtocol，而不是NDIS的EAT里的
2.Hook的并并非是发送完成和接受函数，而是接受函数，以及RecvicePacket同时会调用的一个未导出函数ArpIncxxxxNew

希望楼上仔细看过了再发言~

引用第32楼wangjianfeng于2007-10-21 19:09发表的  :
MJ是很强的,用一种新的方法来实现(虽然是HOOK),
可为什么以前没人写一个出来呢?创意和创新才是重要的.

一种新的方法 指的是什么？ HOOK？ 在NdisRegisterProtocol里HOOK 发送完成和接受函数，早在以前有的FW就使用了这种方法的

MJ是很强的,用一种新的方法来实现(虽然是HOOK),
可为什么以前没人写一个出来呢?创意和创新才是重要的.

攻击网关是没有办法拦截的(让所有的机器不能发起攻击是解决的办法)，每台机器守护自己的MAC和IP是正确的, 我用此方法成功实现了.

算法？呵呵，楼上要搞清楚着是在客户端而不是网关
算法再强，轻易就被XX了，那和废物没区别~

防御ARP是需要算法，而非你用什么类型的驱动。
vxk的思路好的很。

老V说的那个下一版就加入了~一周左右~

没关系，反正你这个不能防御全部的arp欺骗就是啦～
是本机的单纯对于基于网关arp欺骗蒙骗主机的防御，没有防御利用网关转发原理arp更新的arp欺骗～对吧～

网关跟我没有任何关系呢。。。老V还是没弄懂这个东西~

用一个发包工具将被欺骗的ip和mac不断的告诉网关，让网关不停的应答，然后网关就把你当成被欺骗的机器了

这个怎么处理，网关当作真实的话，你没有办法啦吧～～哈哈·～～～

HOOK之接力棒~~~
 

Hook, Hook & Hook again~ OMG!

看得头疼！

何谓守卫？？？？？？？？
除了保护自己外，还应该在受到别人攻击时正当防卫
发包是为了防止局域网内有些机器没有装  ARP防卫工具
这样才能最大程度避免局域网内所有机器受到攻击

 

呵呵,谢MJ,不求甚解,我看东西太粗了,没有细看,心浮气燥.

直接把伪造包干掉不就OK啦，还发包做什么~
我只要取一次就够了

夺取的话还不是靠回复包，人家加大频率你一样挂~

获取TCPIP基址是从ImageInfo.Base里取到的，而不是用ZwQuerySystemInformation
ZwMapViewOfSection是用来读tcpip.sys文件的

你仔细看看某人的IDB吧~

我有时候说话简单了点，没有细看的兄弟肯定不会很明白我的意思

NDIS IM 收到ARP伪造包，立刻主动发出相同的ARP包，将IP地址重新取回

把所有内网的MAC地址与IP地址来个绑定

冒昧的问一句,
这里MJ用的 ZwMapViewOfSection 得到 tcp 的基址,
未用 ZwQuerySystemInformation
是何原因,是因为在BOOT过程中的原因吗?