ARP防火墙使用及配置说明1
Q: ARP防火墙显示的几种不同类型的数据是什么意思?-r u2l G s A: 目前ARP防火墙显示的数据类型有以下几种,
9o Ti,s3Y i"e&[ D/z t9T P (1) 外部ARP攻击-显示的数据是别人对你的ARP攻击(别人攻击你)
g l&y l3I Z ^ (2) 外部IP冲突-显示的数据是别人对你的IP冲突攻击(别人攻击你)
X X Y S+{ (3) 对外ARP攻击-显示的数据是你对别人的ARP攻击(你攻击别人)%u g s v N X v(| _ r
(4) 对外IP攻击-显示的数据是你对别人的伪造源IP攻击,通常是TCP SYN Flood(你攻击别人) X&v a%C B,V0W D s
(5) 对外IP洪水-当你本机发送数据的速度超过设定的阀值时,防火墙会启动拦截,拦截后的数据会显示这里。7A1N;Vc ngP
(6) 安全模式-安全模式下只响应来自网关的ARP Request,别的机器发的ARP Request会被拦截,拦截后的数据显示在这里。 Y g,o&F--_ b
(7) 抑制发送ARP-当你本机发送ARP的速度超过设定阀值时,防火墙会启动拦截,拦截后的数据会显示这里。)J-e V2} q2S p&V.R9l
(8) 分析接收到的ARP-显示的是本机收到的所有ARP数据包,用以分析网络状况。这里显示的数据只是供经验丰富的网管人员分析网络中是否存在潜在的攻击者或者中毒机器,与是否存在ARP攻击没有必然联系。如果你不是网管人员,且你现在网络正常,完全可以忽略这里面显示的数据。 ? p/@ T Z!W K j ~.F S
8O%Mn hvl Q: 怎么判断我是否中了ARP(病毒)?
,N Q.q K Z ` A: 只有ARP防火墙显示有“对外ARP攻击”,才能说明你中了ARP病毒(或者你正在使用攻击软件)。
(i o;d8f A8u%H O,C p1A g
s#q7V7~ x6z { Q: “分析接收到的ARP”里面,有些机器发送的ARP数据量特别大,怎么办?2Q"h q q,a Q9| h,@ O
A: 如果你是网管,在发送数据量大的机器安装ARP防火墙。 如果你不是网管,建议你要么把这个情况报给网管,要么就别操这份心了:D
/R$U P | @8_ z O"q P3_1W1n
Q: ARP防火墙提示拦截到有“外部ARP攻击”,怎么办?
I H1X |1X w A: 如果你的网络受到影响,建议你把主动防御设置为始终运行,如果情况没有好转,请逐步调大防御速度。你可以把情况报给网管,让他去消除攻击源。
7L _ O D"Q:s:l a ~ ? i a R6U h#u M
Q: 为何在“分析接收到的ARP”里面,会有很多来自网关的“非广播-Reply”包? T&I!j+~ ?"] i
A: 主动防御发送给网关ARP包后,网关会回复ARP Reply包。在两种情况下防火墙会发送主动防御包给网关,;s c6O:S$I |
(1) 主动防御设置为“始终运行”时
1O1r$Q5q s7Z G y (2) 主动防御设置为“警戒”,当检测到攻击,切换到“警戒-启动防御”时
K P.m-C q
} |!ci(q4B A Q: 为何ADSL连接后,报“WINDOWSSystem32svchost.exe”对外进行攻击?&I o q&]7^ v"X i B;[
A: 非常抱歉,这是误报,我们将在下一版本解决这个问题。这个误报的表现形式为:“对外IP攻击”,类型为“ip protocol no:139”或“ip protocol no:2”(v4.1才有这个问题)
^ y Y Q A5o } B S h /~ `3p+| | E~
Q: 什么是洪水抑制?8uM*N"L ?-N m
A: 洪水攻击即DoS攻击,即常说的拒绝服务攻击。ARP防火墙的洪水抑制功能,可以根据你设定的阀值,在数据(TCP SYN/UDP/ICMP)流量达到阀值时,开始进行拦截。用于拒绝服务攻击(DoS攻击)的数据包于普通的数据包没有太多差异,发包速度几乎是唯一的判断标准。某些应用程序,可能会造成很大的流量(如PPLive,Emule,BT等),如果洪水抑制的阀值设置不当,可能会影响你的正常使用。如果你对洪水攻击(DoS攻击)不熟悉,强烈建议不要启用“洪水抑制”功能,以免影响你的正常使用!
7g j/F ^,? e
6t dI%f$t3P M F Q: 洪水抑制有何作用?(` F:v!i)m {
A: 对于单台机器的意义:避免本机中病毒后,成为DoS攻击源。拦截本机对外的DoS攻击数据,可以降低本机的网络流量,保障网络畅通,发现本机的DoS病毒,避免给自己带来潜在的麻烦。#K+b$v2n:p
对于局域网的意义:如果局域网内全部部署了带洪水抑制功能的ARP防火墙,可以保障局域网机器不受DoS攻击影响,把DoS攻击扼杀在源头,保证局域网的网络畅通! `o D F W0[-f
r d8V g M N m B
Q: 安装v4.1后,玩游戏时(或运行其它程序)怎么感觉有点卡? T5p C F:Z
A: 如果你感觉卡,请检查ARP防火墙有没有报“对外IP洪水”,如果有,那是因为你设置的DoS(洪水攻击)阀值太低,正常的应用程序触发了阀值。如果你对洪水攻击(DoS攻击)不熟悉,强烈建议不要启用“洪水抑制”功能,以免影响你的正常使用! Y @$?-q J G S E
o z;p ] j4[;S J Q: 单机版和网络版哪个好?
,|4f q-|4b f ] T.u A: 单机版和网络版的核心代码都是一样的,单机版适合保护单台机器,网络版适合保护整个网络。
V7m ^)f }!z l;m(z
H X |4{ a Q Q: 保护一个网络,应该选用单机版还是网络版?
$U ^.n#I w A: 保护一个网络,可以有两种可选办法, B C V g i4n3r V
(1) 部署单机版。优点:(目前)免费 缺点:没有统一管理功能,不能及时掌握所有客户机的状态,单机版有过期时间,过期之后需要全部重新安装或升级。
u A4J } H (2) 部署网络版。优点:具有统一管理功能,可及时掌握整个网络的情况,在正式版KEY的有效期内,没有过期限制。 缺点(?):需要支付少量注册费用4d:v l s2E4S9*W/P
切记:不管是单机版还是网络版,如果你需要保护整个网络,一定要全部部署,才能达到最佳效果。;g y.w;A. [ V Q
Q: ARP防火墙支持无盘系统吗?
w O ~ e:S A: 因为安装ARP防火墙时,需要安装NDIS驱动程序,在这过程中网络会闪断几秒,所以不支持在无盘客户端直接安装。请通过母盘进行安装。
| ~ AK k ^5U&s
Q: 为何在用做代理共享上网的机器上安装ARP防火墙后,下面的机器就上不了网了?
l#J n P [ V l H D;G A: 代理共享上网时,机器会把进出的数据进行修改(NAT原理),这跟ARP防火墙的部分功能有冲突,ARP防火墙会认为这是对外攻击。如遇到此情况,请在软件配置里面把“拦截本机对外ARP攻击”、“拦截本机对外伪造IP攻击”取消即可。 P O q f.L c K;? g
5[ h I I%R6G m Z L
Q: 安装微软的“ARP补丁”有效吗? w9t ^ B$f:F H!f H
A: 在windows 2000系统中,通过arp -s命令来绑定IP和MAC是无效的。微软的“ARP补丁”解决的就是这个问题。这并不代表着,安装“ARP补丁”后,就不会再有ARP问题,请区分清楚。
"n ` ^2K)C T u O d U P d:X a
Q: 软件安装后,为何360安全卫士查出恶意软件 “ WebHop恶意软件 - 危险 - C:WINDOWSsystem32driversoreans32.sys”
!j#l4F a K.x:v B A: 彩影软件用的软件加密程序是Themida,oreans32.sys是Themida的一部分。这是360卫士误报。彩影软件绝不捆绑恶意软件,并已向 360安全卫士提交了相关情况,360安全卫士在最新版本的恶意软件特征库中已经解决这个问题,请广大网友放心使用。 r;] {5d g
K)]:D(b o | f{ e
Q: 为何有些杀毒软件(如AVG Anti-spyware)报防火墙安装目录下的"snetcfg.exe"为后门?
8? o r/K R E S.B A: snetcfg.exe是微软公司提供的一个工具,用于安装驱动程序。ARP防火墙的驱动程序就是通过snetcfg.exe来安装的。这个纯属杀毒软件误报,请放心使用。可以把snetcfg.exe程序删除,不影响ARP防火墙正常使用。我们会在下一版本解决这个误报的问题。 X t T l(@-EW7eC
%V#Q-{ N M N"?
Q: 什么是广播、非广播、Reques、Reply,它们是干吗用的?3f M s [$}0U1u
A: (1) 广播-局域网内所有机器都可以接收到
M } W6M1]+F (2) 非广播-只有你本机可以接收到 W y W ~"| {h ^
(3) Request-是ARP请求包,请求获取某个IP的MAC地址
5@ cP C@+U (4) Reply-是ARP回复包,通告某个IP的MAC地址 ? ~ v&q l/p
假设你的机器的IP是192.168.0.2,当你的机器想与192.168.0.1进行通讯时,它会先查一下本机的ARP缓存表中有没有 192.168.0.1的MAC地址,如果有的话,它们就直接可以通讯了。如果没有,你的机器会发一个ARP“广播-Reques”包(这个包局域网内所有机器都可以接收到),问“192.168.0.1的MAC地址是什么呀,快点告诉我”,192.168.0.1收到这个广播包之后,就会给你的机器回复一个ARP“非广播-Reply”包,告诉你“嘿,我的MAC是xx-xx-xx-xx-xx-xx”。这样在你本机获取了192.168.0.1的 MAC地址后,你们就可以正常通讯了。上述过程就是ARP协议的工作过程,所以说ARP协议是局域网通讯的基石。一般情况下,广播的都是Request 包,非广播的都是Reply包。 b q l-f d
"W.M {,| H#}u: Q:4.0beta4版本中新出现的“主动防御”功能有什么作用?6t i n P c.]2o
A: ARP攻击软件一般会发送两种类型的攻击数据包:E a r f | p)~ C&o-A
(1) 向本机发送虚假的ARP数据包。此种攻击包,ARP防火墙可以100%拦截。/P)T5H/v1l(J6C5w
(2) 向网关发送虚假的ARP数据包。因为网关机器通常不受我们控制,所以此种攻击包我们无法拦截。“主动防御”的功能就是,“告诉”网关,本机正确的MAC地址应该什么,不要理睬虚假的MAC地址。
~2U N9t-C V(I
l R s V M6X+k+P%b8r i L Q: “主动防御”三种不同的配置分别是什么意思?
g/g g Z Y O D!H.u7y S A: 主动防御支持三种模式
(C:K1f T _U @ (1) 停用。任何情况下都不向网关发送本机正确的MAC地址。%D i9d m z%l | _
(2) 警戒。平时不向网关发送本机正确的MAC地址。当检测到本机正在受到ARP攻击时,开始向网关发送本机正确的MAC地址,以保证网络不会中断。
c-` V.` t Y Y (3) 始终运行。始终向网关发送本机正确的MAC地址。如果攻击者只向网关发送攻击数据,不向本机发送攻击数据,那么如果主动防御处于“警戒”状态时是无法保证网络不会中断的,“始终运行”主动防御功能,可以应对这种情况。主动防御设置为始终运行时,本机会持续向网关发送ARP包,网关收到后会给本机回复ARP包。所以当主动防御设置为始终运行时,“分析接收到的ARP”包里面有大量来自网关的ARP包是正常的。 D.g N @-N N3w j/t
#cl R f7f7c Q: “主动防御”速度设置为多少比较合适?:v {$s ] m X.` |
A: 主动防御功能默认配置为:警戒状态,发包速度10 pkts/s。经过彩影软件大量测试,防御速度为10pkts/s时可以应对市面上大多数ARP攻击软件。向网关发送正确MAC时,每次会发送两种类型的数据包,每个数据包大小是42字节(Bytes),所以当速度为10时,网络流量是: 10*2*42=840Bytes,即不到1KBytes/s。同理可计算,防御速度为100时,网络流量<10KBytes/s。防御速度支持自定义,最小为1,最大为100(v4.0.1调准为最大200),用户可以根据自己的网络情况自行调准。
&o D:} {&O _ e D j&n:w w n)|
Q: 为何ARP防火墙没有检测到攻击,但我仍然会掉线(断网)?
eQ:[,G x8B B4C8h(O A: 原因有几种:
0@9v.@,G7y ~1T"c l (1) 可能是攻击者只向网关发送了ARP攻击数据包,所以ARP防火墙没有检测到攻击。解决办法:建议用户把“主动防御”功能设置为“始终运行”,并且根据网络状况逐步调大防御速度。例如:如果速度为10,网络还有点断断续续,那就调到20,20还不行,就调到30。
o |-r O c (2) ARP防火墙在启动之前,机器就已经处于攻击之下,ARP防火墙自动取到的网关MAC地址是假的。解决办法:咨询网管人员,获取网关的正确MAC,然后在ARP防火墙中手动设置网关的IP/MAC。
C v(XQ } V Q a (3) 如果上述两个办法都不可行,那么估计掉线原因就跟ARP攻击没有关系了,毕竟造成掉线的原因有很多,如:硬件问题、线路问题、应用程序(如游戏)本身的问题等等。
| Z D K g *d.x3o i"z#T i
Q: 主动防御已经设置为“始终运行”,为何还会掉线?
j S+D f&] y I:Q A: 原因可能有,1F)u g2| J)D
(1) 掉线的原因有很多,ARP问题只是比较常见的一种,有可能掉线不是ARP问题造成的
D4o9Y5G b5c ] (2) 如果攻击者攻击网关的速度,大于你的防御速度,出现掉线是无法避免的,此时网络可能会断断续续。彻底的解决办法是消除攻击源,如果你无法消除攻击源,那么只能把防御速度调到最大。如果防御速度设置为最大,网络还断断续续,那么对于这种极端情况,在本机安装任何软件都无法再帮到你。
;@ K 8F t ^ ` B
$d H/R ^2F.pe Q: 我安装的ARP防火墙一定要点一下追踪才能上网 , 追踪停止了马上就不能上了,为什么?%@ x ~9? d1o D
A: 网关受到了攻击,网关获取到的你本机的MAC是错误的。点击“追踪”后,ARP防火墙会对外发包进行MAC扫描,在追踪过程中,网关能重新获取到你本机正确的MAC地址,所以网络能通一会儿。追踪停止后,网关再受到攻击,获取到你的MAC又是错误的,所以你的网络又断了。对于这种情况,把主动防御设置为 “始终启用”就可以了,主动防御能够持续向网关通告你本机的正确MAC。 g7u | N S I ` E
:i9L%O2C/N7e P*tQ*~*B
Q: 修改IP就能上网了,不改上不了,为什么?($e h h8@
A: 网关受到了攻击,网关获取到的你本机的MAC是错误的。对于这种情况,把主动防御设置为“始终启用”就可以了,主动防御能够持续向网关通告你本机的正确MAC。
.O0^2u x.rl V e*?
1P a { i2R T m Q: 我在本机绑定了网关的IP/MAC(假设网关的IP/MAC都是准确无误的),为何还上不了网?
Y*g ^ A S h H C P A: 保证网络畅通有两个条件,
T3Z&Z u/[ } (1) 你本机上,网关MAC是正确(E/~!a v R4E)J s ] j3h
(2) 网关上,你本机的MAC是正确的
Z J _ e j {-B6E 虽然你在本机绑定了网关的IP/MAC,但你无法保证网关获取到的你本机的MAC地址是正确的。如遇到此情况,把主动防御设置为始终运行即可。主动防御的作用就是,向网关通告你本机的正确MAC地址。 h H u#q B I8F s
;@2?%4K(P U Q: 被人限制了网速,怎么办?+~#u c { j
A: 限制网速的方法有很多,通过ARP欺骗来实现是比较流行的一种方式。如果是通过ARP欺骗实现的限速,ARP防火墙的默认配置即可帮你解除限制。如果收效不大,建议把主动防御设置为“始终运行”。如果这样还不行,那么可以断定限速不是通过ARP欺骗来实现,对于这种情况,很抱歉,ARP防火墙帮不到你(也没有任何软件可以帮到你,因为从原理上无法绕过)。
;h8` h R#x W f
` S ^8R ~7Z9 c Q: 安全模式有何作用?启用会出现不良后果吗?
a E Y!N.` f y#s h A: 安全模式作用是,只响应来自网关的ARP Request,即是说,除了网关,其它机器无法通过正常途径获取你的MAC地址。注意:这并不意味着别的机器无法获取你的MAC,只是增加难度而已。所以安全模式效果只是可以减少受到攻击的几率,不是完全杜绝。安全模式的优点:增加攻击者获取你MAC地址的难度,降低被攻击的几率。安全模式的缺点:局域网其它机器无法主动与你联系。正常情况下,启用安全模式不会影响你本机的正常使用。6V M:@ Z;u$N;}/h
A I {3g v z g+S"Z Q: 如果攻击者的MAC是伪造的,有办法查到攻击者是谁吗?8z C ~;Q I @$ q
A: 如果你的交换机带网管功能,是可以查到的。假设攻击者伪造的MAC地址为AA-AA-AA-AA-AA-AA,办法如下:V-t4e w { T ?+I3q U g5u
(1) 登录核心交换机,通过以下命令查询虚假MAC的来源/d h G5l B-f#S U F {
#sh mac-address-table dynamic address aaaa.aaaa.aaaa
#M y)|$K+B#{7m t 命令输出类似如下: Of V;@ k U
Mac Address Table1n3e U C5~
------------------------------------------- d L Z s ? C v(h
A H h2l4_ @,x s
Vlan Mac Address Type Ports"G x/E B.p R Y n
---- ----------- -------- -----
N J H R e&d 7 0010.db58.3480 DYNAMIC Po1
5r p"t q-o ` Z t 7 aaaa.aaaa.aaaa DYNAMIC Gi1/0/11 <<<<<1nZ.G v1e-F c
&J:{ a7[9~ ^ (2) 通过以下命令查询Gi1/0/11接的主机,还是网络设备)U ~:w%V } yB a j
#show cdp neighbors
4l3d @6I,K 如果Gi1/0/11接的是交换机,那么登录此交换机,重复上述操作。如果接的是主机,那么此主机即是攻击者。" i w a v1f8H9U2?2N
U+T d G/W f D Q: 为何相同的数据会显示两次?如:
!? B0x*F5G2C3l t ~ I (_!S:N+p ~
A: 因为界面宽度有限,只显示了比较重要的信息。看起来两行数据一样,其实里面有些数据是不同的,所以才会分别显示。注:从4.1beta1开始,已经解决了此问题。 w!G$Z H&d E I {
7X J:I e:e Q: 为什么防火墙总提示“检测到arp缓存表中网关的mac地址已被修改,已修复。可能是感染了病毒或在arp防火墙启动之前已经被攻击。”? ~ u8N _ D$^ _
A: 在两种情况下会出现这种提示
~ T b f Y)M (1) 本机中了病毒或其它恶意软件,它们篡改了本机ARP缓存表中网关的MAC地址/R x w$i Z y
(2) 防火墙获取网关MAC的方式设置为自动,且在防火墙启动之前就已经处于攻击之下。 n5J;k-} g y
(3)在网卡状态发生变化时(如插拔网线、DHCP获取IP地址时、网卡禁用再启用时),程序有可能会产生误报。从v4.1beta1开始,已经解决了这个误报的问题。
b$s)r X"v q /a _ p 注意:ARP防火墙可以检测到本机ARP缓存中网关MAC被篡改的情况并修复,但无法阻止病毒或恶意软件再次篡改。如遇此情况,请查毒杀毒。%v1d;R ]+N
7B U o3K8R f g? z Q: ARP防火墙单机版是免费的吗?为何设置有过期时间?
:l i I d E W1a L A: 目前为免费试用。我们会不断更新和完善ARP防火墙,为了让用户都及时下载安装使用最新版本,所以目前的版本中设置了过期时间,届时请下载新版本。
.R#}1 h j c e R:j#Q
页:
[1]