软件突破360ARP防火墙、绕过ARP防火墙限制上网作者：维创 日期：2012/8/16在企事业单位局域网中，很多人谈到ARP时，常常联想到ARP攻击、ARP欺骗、ARP木马、ARP劫持等危害局域网的恶意软件。

特别是当前局域网也经常流行ARP欺骗攻击，轻者导致局域网个别电脑无法上网，严重者可能整个局域网掉线、丢包现象。

为此，企业网管对ARP攻击可谓深恶痛绝，一时间谈“ARP”色变。

为了防止局域网ARP攻击、抵御ARP欺骗、防止ARP劫持等，一些网管员纷纷在单位的电脑上安装了ARP防火墙，通过ARP防火墙绑定局域网上网网关的方式来试图达到防止ARP攻击的目的。

毋庸置疑，由于一般的ARP攻击、ARP欺骗行为都是向局域网电脑发送伪造的、错误的网关MAC地址，使得被控制电脑的ARP表项里面存储的网关的正确的ARP信息被篡改成一个不存在的或发动ARP攻击的电脑的MAC地址。

这样，使得被控制的电脑将数据包发送到一个错误的MAC地址后，数据包就无法发送到网关地址，因此被控制的电脑就无法上网，这就是传统的ARP欺骗。

而一旦电脑安装ARP防火墙后，将会绑定局域网网关的IP和MAC地址，使得电脑不再接受局域网其他电脑发送的ARP报文，因此被控制的电脑的公网报文可以一直正确地发送到真正的网关地址，从而可以达到正常上网的目的。

但是，ARP防火墙真的可以有效防范ARP攻击、防止局域网ARP欺骗吗？尤其是流行的360ARP防火墙、彩影ARP防火墙、金山ARP防火墙以及一些杀毒软件或防火墙所自带的ARP防护功能，是否可以真正起到有效避免ARP攻击、防止ARP欺骗的功能呢？其实，ARP本身是互联网的基础通信协议之一，翻译成中文就是网络地址解析协议。

也就是说ARP协议是网络正常通信的前提和基础，所以几乎所有的路由器、防火墙等都会不断地向局域网广播ARP报文，以达到向局域网电脑提供网关真实的MAC地址，保证网络通讯正常进行的目的。

软件（官网：）作为国内知名的上网行为管理软件，在对局域网实施监控时用到了ARP技术，只不过我们是模拟路由器的ARP广播机制来达到一种类似于代理上网的目的，因此使用软件完全不会导致局域网出现掉线现象；同时，由于软件可以实时对局域网电脑的ARP报文进行解析和分析，一旦发现局域网内有非法ARP报文、ARP欺骗时会自动输出警报信息，帮助网管迅速定位局域网发动ARP攻击的电脑，将网络危害消灭在萌芽状态。

同时，由于系统上网管理软件采用的是一种ARP代理技术，因此即便被控制的电脑安装了ARP防火墙也不受影响，可以完全突破ARP防火墙、越过ARP防火墙、绕过ARP防火墙进行监控，从而可以达到和ARP防火墙和谐共存，保证网络安全和畅通的目的。

此外，由于ARP防火墙的原理是绑定网关的IP和MAC地址，并且现在越来越多的ARP防火墙集成了一种所谓的“主动防御技术”，这种技术的实质是不断地向路由器广播含有这个电脑自身的IP和MAC地址的ARP报文，便于让路由器可以识别和定位这个电脑。

这样，如果局域网安装ARP防火墙的电脑越来越多，将会使得向路由器发送的ARP报文也越来越多，使得路由器和局域网充斥着大量的ARP报文而负荷大大增加，不可避免地影响局域网的整体性能，甚至导致路由器宕机的现象。

为此，我们建议网管员一定要慎用ARP防火墙。

而且，在局域网部署网络控制软件的情况下，局域网也不必在安装ARP防火墙，因为系统不仅可以检测到局域网ARP攻击源主机，而且还可以在发现ARP攻击时向局域网发送ARP攻击免疫信息，从而避免了ARP攻击给局域网造成的危害，保证了局域网安全、稳定和畅通。