360ARP防火墙“智能追踪”原理探究

这个ARP防护功能在360的流量防火墙中的局域网防护中

一旦捕获到了攻击还能“智能追踪”

MAC地址懒得打码了

最开始，我的猜想是，这个追踪功能靠的是ARP包里面所声称的地址来实现的，因为欺骗者总是想要自己声称自己的MAC地址对应网关的地址，以此来欺骗受害者。

但是测了一下发现并不是这样。

用scapy命令send(ARP(op=1,hwsrc='11:45:14:19:19:81',hwdst='00:0C:29:AC:46:B5',psrc='192.168.1.1',pdst='192.168.1.235'))

构造一个非攻击者的地址发过去，但还是被360找到了真实的地址

这是怎么回事呢？那只能抓包看看了。

一看wireshark就找到问题了，原来以太帧里面就会有这个MAC地址

那么要是把以太帧上的源地址换掉会怎么样呢？

通过scapy可以轻易伪造源地址

sendp(Ether(src='11:45:14:19:38:6F')/ARP(op=1,hwsrc='11:45:14:19:19:81',hwdst='00:0C:29:AC:46:B5',psrc='192.168.1.1',pdst='192.168.1.235'))

结果360就只能看到错误的地址了

而360的“追踪”是怎么回事呢，抓包发现360是执行了一次局域网内的ARP扫描，尝试找到攻击者的MAC地址对应的IP地址

通过这个简单的测试，我们已经知道了360ARP防火墙智能追踪功能的实现原理：

收到异常ARP包的时候，从以太帧中提取攻击者的真实MAC地址，然后执行ARP扫描，找到这个MAC地址对应的IP，从而实现追踪

360 ARP防火墙只能根据以太帧中的MAC地址来做“追踪”，因此攻击者可以随时改掉包中的地址来借刀别的机器或者让360追踪不出来，当然这并不是360技术有缺陷，而是因为作为一台装在用户主机上的软件，它只能做到这样。

事实上，大部分的ARP欺骗工具都不会修改以太帧中的MAC地址，因此大部分情况已经够用了

Driver Tom's Blog