KV2009新功能——防护ARP欺骗攻击

    作 者：耿斌

    作为一名江民杀毒软件的老用户,追随江民从kv300到如今的kv2009,已经有十多个年头了。这次kv2009的发布,秉承了江民一贯的实用风格,在界面求新的基础上融入了一些新的技术，这其中“ARP攻击防护”就是以前版本所没有的。
      
    还记得是在2007年夏天，那时单位里经常有机器上不了网，刚开始以为是机器中毒太深，系统被破坏掉了，于是重装系统，但系统装完后第二天就又不能上了，更改一下手动设定的IP地址却又可以了。经过查找资料才知道，这是ARP病毒搞的鬼。不过，由于当时没有很好的工具，只能手动将IP地址和MAC地址绑定在一起，近百台的机器让自己忙得够呛，但效果也不是很好，后来出现了第三方工具ARP防火墙，不过同事们的使用习惯常常会忽略掉这个软件的功能，一时之间很是苦恼。
       
    这次发布的kv2009既然将“ARP欺骗攻击防护”放在了主动防御里，那这个防护是否真的有效呢？为此，笔者专门作了一次ARP攻击的实验。
       
    两台机器在同一网段，IP自动获取分别是A机器192.168.1.110和B机器192.168.1.100。默认情况下KV2009的“ARP欺骗攻击防护”功能是关闭的，作为家庭用户如果采用ADSL拔号上网是不会遭受ARP病毒攻击的，所以软件默认的关闭功能足以体现人性化的实用风格。当然，目前市场上也有一些服务商采用虚拟LAN的方式提供普通用户上网（笔者使用的广电网就属于这种方式），这时就应打开这一功能。
      
    现在我们在A机器上对B机器实施ARP攻击，会发现无法在B机器上浏览网页，在图1所示的“本地连接状态”窗口的“支持”选项卡中单击“修复”按钮，修复过后再次浏览网页，已经可以打开网页了，但过了一会儿后又不能打开（为模拟现实环境，A机器上设置为持续间隔进行ARP攻击），只能将IP地址改掉才可以上网。




此主题相关图片如下：

      
    停止A机器上的ARP攻击，打开B机器上的KV2009主界面，在“主动防御”里点击“主动防御已经启动”栏的“参数设置”（如图2），勾选图3中的“ARP欺骗攻击防护”，“详细设置”里考虑到普通用户的计算机水平，所以选择为默认方式“自动绑定”（如图4），确定后会发现图2 中ARP欺骗攻击防护一栏的当前状态为“对勾”（如图5）。




此主题相关图片如下：





此主题相关图片如下：





此主题相关图片如下：





此主题相关图片如下：




    再次实施ARP攻击，江民会主动防御到一个网关欺骗的攻击(图6)，网页浏览一切正常。查看一下江民杀毒软件历史记录中的“ARP欺骗防护”项（如图7），确实已经记录在案了。至此，我们的ARP欺骗防护功能测试宣告成功。      
      

此主题相关图片如下：





此主题相关图片如下：


    当然，ARP欺骗防护仅仅是KV2009的一项小功能，除了继承原来KV2008版的优势外，更有虚拟机、启发式、“云安全”等先进技术，这些专业名词在普通用户眼里虽不能被了解，但其实实在在的防毒杀毒功能，才是每个使用它的用户最为看中的亮点。