• 首页
  • 车闻

    • 怎样拒绝一个IP的ARP Request 怎么防止一个别人的ARP欺骗攻击和IP与系统有冲突?

    \u600e\u6837\u5728WINDOWS\u91cc\u62d2\u7edd\u56de\u7b54 \u6765\u81ea\u7279\u5b9aIP\u5730\u5740\u7684ARP\u67e5\u5bfb

    http://news.ccidnet.com/art/1755/20050225/216325_2.html

    1.\u5efa\u7acbDHCP\u670d\u52a1\u5668(\u5efa\u8bae\u5efa\u5728\u7f51\u5173\u4e0a\uff0c\u56e0\u4e3aDHCP\u4e0d\u5360\u7528\u591a\u5c11CPU\uff0c\u800c\u4e14ARP\u6b3a\u9a97\u653b\u51fb\u4e00\u822c\u603b\u662f\u5148\u653b\u51fb\u7f51\u5173\uff0c\u6211\u4eec\u5c31\u662f\u8981\u8ba9\u4ed6\u5148\u653b\u51fb\u7f51\u5173\uff0c\u56e0\u4e3a\u7f51\u5173\u8fd9\u91cc\u6709\u76d1\u63a7\u7a0b\u5e8f\u7684\uff0c\u7f51\u5173\u5730\u5740\u5efa\u8bae\u9009\u62e9192.168.10.2 \uff0c\u628a192.168.10.1\u7559\u7a7a\uff0c\u5982\u679c\u72af\u7f6a\u7a0b\u5e8f\u611a\u8822\u7684\u8bdd\u8ba9\u4ed6\u53bb\u653b\u51fb\u7a7a\u5730\u5740\u5427)\uff0c\u53e6\u5916\u6240\u6709\u5ba2\u6237\u673a\u7684IP\u5730\u5740\u53ca\u5176\u76f8\u5173\u4e3b\u673a\u4fe1\u606f\uff0c\u53ea\u80fd\u7531\u7f51\u5173\u8fd9\u91cc\u53d6\u5f97\uff0c\u7f51\u5173\u8fd9\u91cc\u5f00\u901aDHCP\u670d\u52a1\uff0c\u4f46\u662f\u8981\u7ed9\u6bcf\u4e2a\u7f51\u5361\uff0c\u7ed1\u5b9a\u56fa\u5b9a\u552f\u4e00IP\u5730\u5740\u3002\u4e00\u5b9a\u8981\u4fdd\u6301\u7f51\u5185\u7684\u673a\u5668IP/MAC\u4e00\u4e00\u5bf9\u5e94\u7684\u5173\u7cfb\u3002\u8fd9\u6837\u5ba2\u6237\u673a\u867d\u7136\u662fDHCP\u53d6\u5730\u5740\uff0c\u4f46\u6bcf\u6b21\u5f00\u673a\u7684IP\u5730\u5740\u90fd\u662f\u4e00\u6837\u7684\u3002

    2.\u5efa\u7acbMAC\u6570\u636e\u5e93\uff0c\u628a\u7f51\u5427\u5185\u6240\u6709\u7f51\u5361\u7684MAC\u5730\u5740\u8bb0\u5f55\u4e0b\u6765\uff0c\u6bcf\u4e2aMAC\u548cIP\u3001\u5730\u7406\u4f4d\u7f6e\u7edf\u7edf\u88c5\u5165\u6570\u636e\u5e93\uff0c\u4ee5\u4fbf\u53ca\u65f6\u67e5\u8be2\u5907\u6848\u3002

    3.\u7f51\u5173\u673a\u5668\u5173\u95edARP\u52a8\u6001\u5237\u65b0\u7684\u8fc7\u7a0b\uff0c\u4f7f\u7528\u9759\u6001\u8def\u90ae\uff0c\u8fd9\u6837\u7684\u8bdd\uff0c\u5373\u4f7f\u72af\u7f6a\u5acc\u7591\u4eba\u4f7f\u7528ARP\u6b3a\u9a97\u653b\u51fb\u7f51\u5173\u7684\u8bdd\uff0c\u8fd9\u6837\u5bf9\u7f51\u5173\u4e5f\u662f\u6ca1\u6709\u7528\u7684\uff0c\u786e\u4fdd\u4e3b\u673a\u5b89\u5168\u3002
    \u7f51\u5173\u5efa\u7acb\u9759\u6001IP/MAC\u6346\u7ed1\u7684\u65b9\u6cd5\u662f\uff1a\u5efa\u7acb/etc/ethers\u6587\u4ef6\uff0c\u5176\u4e2d\u5305\u542b\u6b63\u786e\u7684IP/MAC\u5bf9\u5e94\u5173\u7cfb\uff0c\u683c\u5f0f\u5982\u4e0b\uff1a
    192.168.2.32 08:00:4E:B0:24:47
    \u7136\u540e\u518d/etc/rc.d/rc.local\u6700\u540e\u6dfb\u52a0\uff1a
    arp -f \u751f\u6548\u5373\u53ef

    4.\u7f51\u5173\u76d1\u542c\u7f51\u7edc\u5b89\u5168\u3002\u7f51\u5173\u4e0a\u9762\u4f7f\u7528TCPDUMP\u7a0b\u5e8f\u622a\u53d6\u6bcf\u4e2aARP\u7a0b\u5e8f\u5305\uff0c\u5f04\u4e00\u4e2a\u811a\u672c\u5206\u6790\u8f6f\u4ef6\u5206\u6790\u8fd9\u4e9bARP\u534f\u8bae\u3002ARP\u6b3a\u9a97\u653b\u51fb\u7684\u5305\u4e00\u822c\u6709\u4ee5\u4e0b\u4e24\u4e2a\u7279\u70b9\uff0c\u6ee1\u8db3\u4e4b\u4e00\u53ef\u89c6\u4e3a\u653b\u51fb\u5305\u62a5\u8b66\uff1a\u7b2c\u4e00\u4ee5\u592a\u7f51\u6570\u636e\u5305\u5934\u7684\u6e90\u5730\u5740\u3001\u76ee\u6807\u5730\u5740\u548cARP\u6570\u636e\u5305\u7684\u534f\u8bae\u5730\u5740\u4e0d\u5339\u914d\u3002\u6216\u8005\uff0cARP\u6570\u636e\u5305\u7684\u53d1\u9001\u548c\u76ee\u6807\u5730\u5740\u4e0d\u5728\u81ea\u5df1\u7f51\u7edc\u7f51\u5361MAC\u6570\u636e\u5e93\u5185\uff0c\u6216\u8005\u4e0e\u81ea\u5df1\u7f51\u7edcMAC\u6570\u636e\u5e93 MAC/IP \u4e0d\u5339\u914d\u3002\u8fd9\u4e9b\u7edf\u7edf\u7b2c\u4e00\u65f6\u95f4\u62a5\u8b66\uff0c\u67e5\u8fd9\u4e9b\u6570\u636e\u5305\uff08\u4ee5\u592a\u7f51\u6570\u636e\u5305\uff09\u7684\u6e90\u5730\u5740(\u4e5f\u6709\u53ef\u80fd\u4f2a\u9020)\uff0c\u5c31\u5927\u81f4\u77e5\u9053\u90a3\u53f0\u673a\u5668\u5728\u53d1\u8d77\u653b\u51fb\u4e86\u3002

    5.\u5077\u5077\u6478\u6478\u7684\u8d70\u5230\u90a3\u53f0\u673a\u5668\uff0c\u770b\u770b\u4f7f\u7528\u4eba\u662f\u5426\u6545\u610f\uff0c\u8fd8\u662f\u88ab\u4efb\u653e\u4e86\u4ec0\u4e48\u6728\u9a6c\u7a0b\u5e8f\u9677\u5bb3\u7684\u3002\u5982\u679c\u540e\u8005\uff0c\u4e0d\u58f0\u4e0d\u54cd\u7684\u627e\u4e2a\u501f\u53e3\u652f\u5f00\u4ed6\uff0c\u62d4\u6389\u7f51\u7ebf(\u4e0d\u5173\u673a,\u7279\u522b\u8981\u770b\u770bWin98\u91cc\u7684\u8ba1\u5212\u4efb\u52a1)\uff0c\u770b\u770b\u673a\u5668\u7684\u5f53\u524d\u4f7f\u7528\u8bb0\u5f55\u548c\u8fd0\u884c\u60c5\u51b5\uff0c\u786e\u5b9a\u662f\u5426\u662f\u5728\u653b\u51fb\u3002

    2:IP\u4e0e\u7cfb\u7edf\u6709\u51b2\u7a81
    TCP/IP\u534f\u8bae\u8bbe\u7f6e\u81ea\u52a8\u83b7\u53d6ip\u5373\u53ef

    我帮你收集的资料,希望对你有帮助。

    ARP防火墙单机版FAQ for v4.1.12007-06-09 09:17防火墙软件支持哪些平台?
    A: 目前支持Windows 2000/xp/2003,从4.1beta2开始支持vista(x32),不支持windows 98/me/vista(x64)。
    Q: ARP防火墙显示的几种不同类型的数据是什么意思?
    A: 目前ARP防火墙显示的数据类型有以下几种,
    (1) 外部ARP攻击-显示的数据是别人对你的ARP攻击(别人攻击你)
    (2) 外部IP冲突-显示的数据是别人对你的IP冲突攻击(别人攻击你)
    (3) 对外ARP攻击-显示的数据是你对别人的ARP攻击(你攻击别人)
    (4) 对外IP攻击-显示的数据是你对别人的伪造源IP攻击,通常是TCP SYN Flood(你攻击别人)
    (5) 对外IP洪水-当你本机发送数据的速度超过设定的阀值时,防火墙会启动拦截,拦截后的数据会显示这里。
    (6) 安全模式-安全模式下只响应来自网关的ARP Request,别的机器发的ARP Request会被拦截,拦截后的数据显示在这里。
    (7) 抑制发送ARP-当你本机发送ARP的速度超过设定阀值时,防火墙会启动拦截,拦截后的数据会显示这里。
    (8) 分析接收到的ARP-显示的是本机收到的所有ARP数据包,用以分析网络状况。这里显示的数据只是供经验丰富的网管人员分析网络中是否存在潜在的攻击者或者中毒机器,与是否存在ARP攻击没有必然联系。如果你不是网管人员,且你现在网络正常,完全可以忽略这里面显示的数据。

    Q: 怎么判断我是否中了ARP(病毒)?
    A: 只有ARP防火墙显示有“对外ARP攻击”,才能说明你中了ARP病毒(或者你正在使用攻击软件)。

    Q: “分析接收到的ARP”里面,有些机器发送的ARP数据量特别大,怎么办?
    A: 如果你是网管,在发送数据量大的机器安装ARP防火墙。 如果你不是网管,建议你要么把这个情况报给网管,要么就别操这份心了:D

    Q: ARP防火墙提示拦截到有“外部ARP攻击”,怎么办?
    A: 如果你的网络受到影响,建议你把主动防御设置为始终运行,如果情况没有好转,请逐步调大防御速度。你可以把情况报给网管,让他去消除攻击源。

    Q: 为何在“分析接收到的ARP”里面,会有很多来自网关的“非广播-Reply”包?
    A: 主动防御发送给网关ARP包后,网关会回复ARP Reply包。在两种情况下防火墙会发送主动防御包给网关,
    (1) 主动防御设置为“始终运行”时
    (2) 主动防御设置为“警戒”,当检测到攻击,切换到“警戒-启动防御”时

    Q: 为何ADSL连接后,报“WINDOWS\System32\svchost.exe”对外进行攻击?
    A: 非常抱歉,这是误报,我们将在下一版本解决这个问题。这个误报的表现形式为:“对外IP攻击”,类型为“ip protocol no:139”或“ip protocol no:2”(v4.1才有这个问题)

    Q: 什么是洪水抑制?
    A: 洪水攻击即DoS攻击,即常说的拒绝服务攻击。ARP防火墙的洪水抑制功能,可以根据你设定的阀值,在数据(TCP SYN/UDP/ICMP)流量达到阀值时,开始进行拦截。用于拒绝服务攻击(DoS攻击)的数据包于普通的数据包没有太多差异,发包速度几乎是唯一的判断标准。某些应用程序,可能会造成很大的流量(如PPLive,Emule,BT等),如果洪水抑制的阀值设置不当,可能会影响你的正常使用。如果你对洪水攻击(DoS攻击)不熟悉,强烈建议不要启用“洪水抑制”功能,以免影响你的正常使用!

    Q: 洪水抑制有何作用?
    A: 对于单台机器的意义:避免本机中病毒后,成为DoS攻击源。拦截本机对外的DoS攻击数据,可以降低本机的网络流量,保障网络畅通,发现本机的DoS病毒,避免给自己带来潜在的麻烦。
    对于局域网的意义:如果局域网内全部部署了带洪水抑制功能的ARP防火墙,可以保障局域网机器不受DoS攻击影响,把DoS攻击扼杀在源头,保证局域网的网络畅通!

    Q: 安装v4.1后,玩游戏时(或运行其它程序)怎么感觉有点卡?
    A: 如果你感觉卡,请检查ARP防火墙有没有报“对外IP洪水”,如果有,那是因为你设置的DoS(洪水攻击)阀值太低,正常的应用程序触发了阀值。如果你对洪水攻击(DoS攻击)不熟悉,强烈建议不要启用“洪水抑制”功能,以免影响你的正常使用!

    Q: 单机版和网络版哪个好?
    A: 单机版和网络版的核心代码都是一样的,单机版适合保护单台机器,网络版适合保护整个网络。

    Q: 保护一个网络,应该选用单机版还是网络版?
    A: 保护一个网络,可以有两种可选办法,
    (1) 部署单机版。优点:(目前)免费 缺点:没有统一管理功能,不能及时掌握所有客户机的状态,单机版有过期时间,过期之后需要全部重新安装或升级。
    (2) 部署网络版。优点:具有统一管理功能,可及时掌握整个网络的情况,在正式版KEY的有效期内,没有过期限制。 缺点(?):需要支付少量注册费用
    切记:不管是单机版还是网络版,如果你需要保护整个网络,一定要全部部署,才能达到最佳效果。

    Q: ARP防火墙支持无盘系统吗?
    A: 因为安装ARP防火墙时,需要安装NDIS驱动程序,在这过程中网络会闪断几秒,所以不支持在无盘客户端直接安装。请通过母盘进行安装。

    Q: 为何在用做代理共享上网的机器上安装ARP防火墙后,下面的机器就上不了网了?
    A: 代理共享上网时,机器会把进出的数据进行修改(NAT原理),这跟ARP防火墙的部分功能有冲突,ARP防火墙会认为这是对外攻击。如遇到此情况,请在软件配置里面把“拦截本机对外ARP攻击”、“拦截本机对外伪造IP攻击”取消即可。

    Q: 安装微软的“ARP补丁”有效吗?
    A: 在windows 2000系统中,通过arp -s命令来绑定IP和MAC是无效的。微软的“ARP补丁”解决的就是这个问题。这并不代表着,安装“ARP补丁”后,就不会再有ARP问题,请区分清楚。

    Q: 软件安装后,为何360安全卫士查出恶意软件 “ WebHop恶意软件 - 危险 - C:\WINDOWS\system32\drivers\oreans32.sys”
    A: 彩影软件用的软件加密程序是Themida,oreans32.sys是Themida的一部分。这是360卫士误报。彩影软件绝不捆绑恶意软件,并已向360安全卫士提交了相关情况,360安全卫士在最新版本的恶意软件特征库中已经解决这个问题,请广大网友放心使用。

    Q: 为何有些杀毒软件(如AVG Anti-spyware)报防火墙安装目录下的"snetcfg.exe"为后门?
    A: snetcfg.exe是微软公司提供的一个工具,用于安装驱动程序。ARP防火墙的驱动程序就是通过snetcfg.exe来安装的。这个纯属杀毒软件误报,请放心使用。可以把snetcfg.exe程序删除,不影响ARP防火墙正常使用。我们会在下一版本解决这个误报的问题。

    Q: 什么是广播、非广播、Reques、Reply,它们是干吗用的?
    A: (1) 广播-局域网内所有机器都可以接收到
    (2) 非广播-只有你本机可以接收到
    (3) Request-是ARP请求包,请求获取某个IP的MAC地址
    (4) Reply-是ARP回复包,通告某个IP的MAC地址
    假设你的机器的IP是192.168.0.2,当你的机器想与192.168.0.1进行通讯时,它会先查一下本机的ARP缓存表中有没有192.168.0.1的MAC地址,如果有的话,它们就直接可以通讯了。如果没有,你的机器会发一个ARP“广播-Reques”包(这个包局域网内所有机器都可以接收到),问“192.168.0.1的MAC地址是什么呀,快点告诉我”,192.168.0.1收到这个广播包之后,就会给你的机器回复一个ARP“非广播-Reply”包,告诉你“嘿,我的MAC是xx-xx-xx-xx-xx-xx”。这样在你本机获取了192.168.0.1的MAC地址后,你们就可以正常通讯了。上述过程就是ARP协议的工作过程,所以说ARP协议是局域网通讯的基石。一般情况下,广播的都是Request包,非广播的都是Reply包。

    Q: 4.0beta4版本中新出现的“主动防御”功能有什么作用?
    A: ARP攻击软件一般会发送两种类型的攻击数据包:
    (1) 向本机发送虚假的ARP数据包。此种攻击包,ARP防火墙可以100%拦截。
    (2) 向网关发送虚假的ARP数据包。因为网关机器通常不受我们控制,所以此种攻击包我们无法拦截。“主动防御”的功能就是,“告诉”网关,本机正确的MAC地址应该什么,不要理睬虚假的MAC地址。

    Q: “主动防御”三种不同的配置分别是什么意思?
    A: 主动防御支持三种模式
    (1) 停用。任何情况下都不向网关发送本机正确的MAC地址。
    (2) 警戒。平时不向网关发送本机正确的MAC地址。当检测到本机正在受到ARP攻击时,开始向网关发送本机正确的MAC地址,以保证网络不会中断。
    (3) 始终运行。始终向网关发送本机正确的MAC地址。如果攻击者只向网关发送攻击数据,不向本机发送攻击数据,那么如果主动防御处于“警戒”状态时是无法保证网络不会中断的,“始终运行”主动防御功能,可以应对这种情况。主动防御设置为始终运行时,本机会持续向网关发送ARP包,网关收到后会给本机回复ARP包。所以当主动防御设置为始终运行时,“分析接收到的ARP”包里面有大量来自网关的ARP包是正常的。

    Q: “主动防御”速度设置为多少比较合适?
    A: 主动防御功能默认配置为:警戒状态,发包速度10 pkts/s。经过彩影软件大量测试,防御速度为10pkts/s时可以应对市面上大多数ARP攻击软件。向网关发送正确MAC时,每次会发送两种类型的数据包,每个数据包大小是42字节(Bytes),所以当速度为10时,网络流量是: 10*2*42=840Bytes,即不到1KBytes/s。同理可计算,防御速度为100时,网络流量<10KBytes/s。防御速度支持自定义,最小为1,最大为100(v4.0.1调准为最大200),用户可以根据自己的网络情况自行调准。

    Q: 为何ARP防火墙没有检测到攻击,但我仍然会掉线(断网)?
    A: 原因有几种:
    (1) 可能是攻击者只向网关发送了ARP攻击数据包,所以ARP防火墙没有检测到攻击。解决办法:建议用户把“主动防御”功能设置为“始终运行”,并且根据网络状况逐步调大防御速度。例如:如果速度为10,网络还有点断断续续,那就调到20,20还不行,就调到30。
    (2) ARP防火墙在启动之前,机器就已经处于攻击之下,ARP防火墙自动取到的网关MAC地址是假的。解决办法:咨询网管人员,获取网关的正确MAC,然后在ARP防火墙中手动设置网关的IP/MAC。
    (3) 如果上述两个办法都不可行,那么估计掉线原因就跟ARP攻击没有关系了,毕竟造成掉线的原因有很多,如:硬件问题、线路问题、应用程序(如游戏)本身的问题等等。

    Q: 主动防御已经设置为“始终运行”,为何还会掉线?
    A: 原因可能有,
    (1) 掉线的原因有很多,ARP问题只是比较常见的一种,有可能掉线不是ARP问题造成的
    (2) 如果攻击者攻击网关的速度,大于你的防御速度,出现掉线是无法避免的,此时网络可能会断断续续。彻底的解决办法是消除攻击源,如果你无法消除攻击源,那么只能把防御速度调到最大。如果防御速度设置为最大,网络还断断续续,那么对于这种极端情况,在本机安装任何软件都无法再帮到你。

    Q: 我安装的ARP防火墙一定要点一下追踪才能上网 , 追踪停止了马上就不能上了,为什么?
    A: 网关受到了攻击,网关获取到的你本机的MAC是错误的。点击“追踪”后,ARP防火墙会对外发包进行MAC扫描,在追踪过程中,网关能重新获取到你本机正确的MAC地址,所以网络能通一会儿。追踪停止后,网关再受到攻击,获取到你的MAC又是错误的,所以你的网络又断了。对于这种情况,把主动防御设置为“始终启用”就可以了,主动防御能够持续向网关通告你本机的正确MAC。

    Q: 修改IP就能上网了,不改上不了,为什么?
    A: 网关受到了攻击,网关获取到的你本机的MAC是错误的。对于这种情况,把主动防御设置为“始终启用”就可以了,主动防御能够持续向网关通告你本机的正确MAC。

    Q: 我在本机绑定了网关的IP/MAC(假设网关的IP/MAC都是准确无误的),为何还上不了网?
    A: 保证网络畅通有两个条件,
    (1) 你本机上,网关MAC是正确
    (2) 网关上,你本机的MAC是正确的
    虽然你在本机绑定了网关的IP/MAC,但你无法保证网关获取到的你本机的MAC地址是正确的。如遇到此情况,把主动防御设置为始终运行即可。主动防御的作用就是,向网关通告你本机的正确MAC地址。

    Q: 被人限制了网速,怎么办?
    A: 限制网速的方法有很多,通过ARP欺骗来实现是比较流行的一种方式。如果是通过ARP欺骗实现的限速,ARP防火墙的默认配置即可帮你解除限制。如果收效不大,建议把主动防御设置为“始终运行”。如果这样还不行,那么可以断定限速不是通过ARP欺骗来实现,对于这种情况,很抱歉,ARP防火墙帮不到你(也没有任何软件可以帮到你,因为从原理上无法绕过)。

    Q: 安全模式有何作用?启用会出现不良后果吗?
    A: 安全模式作用是,只响应来自网关的ARP Request,即是说,除了网关,其它机器无法通过正常途径获取你的MAC地址。注意:这并不意味着别的机器无法获取你的MAC,只是增加难度而已。所以安全模式效果只是可以减少受到攻击的几率,不是完全杜绝。安全模式的优点:增加攻击者获取你MAC地址的难度,降低被攻击的几率。安全模式的缺点:局域网其它机器无法主动与你联系。正常情况下,启用安全模式不会影响你本机的正常使用。

    Q: 如果攻击者的MAC是伪造的,有办法查到攻击者是谁吗?
    A: 如果你的交换机带网管功能,是可以查到的。假设攻击者伪造的MAC地址为AA-AA-AA-AA-AA-AA,办法如下:
    (1) 登录核心交换机,通过以下命令查询虚假MAC的来源
    #sh mac-address-table dynamic address aaaa.aaaa.aaaa
    命令输出类似如下:
    Mac Address Table
    -------------------------------------------

    Vlan Mac Address Type Ports
    ---- ----------- -------- -----
    7 0010.db58.3480 DYNAMIC Po1
    7 aaaa.aaaa.aaaa DYNAMIC Gi1/0/11 <<<<<

    (2) 通过以下命令查询Gi1/0/11接的主机,还是网络设备
    #show cdp neighbors
    如果Gi1/0/11接的是交换机,那么登录此交换机,重复上述操作。如果接的是主机,那么此主机即是攻击者。

    Q: 为何相同的数据会显示两次?如:

    A: 因为界面宽度有限,只显示了比较重要的信息。看起来两行数据一样,其实里面有些数据是不同的,所以才会分别显示。注:从4.1beta1开始,已经解决了此问题。

    Q: 为什么防火墙总提示“检测到arp缓存表中网关的mac地址已被修改,已修复。可能是感染了病毒或在arp防火墙启动之前已经被攻击。”?
    A: 在两种情况下会出现这种提示
    (1) 本机中了病毒或其它恶意软件,它们篡改了本机ARP缓存表中网关的MAC地址
    (2) 防火墙获取网关MAC的方式设置为自动,且在防火墙启动之前就已经处于攻击之下。
    (3)在网卡状态发生变化时(如插拔网线、DHCP获取IP地址时、网卡禁用再启用时),程序有可能会产生误报。从v4.1beta1开始,已经解决了这个误报的问题。
    注意:ARP防火墙可以检测到本机ARP缓存中网关MAC被篡改的情况并修复,但无法阻止病毒或恶意软件再次篡改。如遇此情况,请查毒杀毒。

    Q: ARP防火墙单机版是免费的吗?为何设置有过期时间?
    A: 目前为免费试用。我们会不断更新和完善ARP防火墙,为了让用户都及时下载安装使用最新版本,所以目前的版本中设置了过期时间,届时请下载新版本。

    Q: 病毒修改系统时间后,ARP防火墙就不能正常使用了,怎么办?
    A: (1) 正在开发的网络版 v3.1,将去除客户端的时间限制
    (2) 正在开发的单机版 v4.2,将引入“禁止修改系统时间”功能,届时能阻止病毒修改系统时间,并能定位试图修改系统时间的病毒进程。

    Q: 软件过期时间未到,但软件为何提示“版本已过期”?
    A: 因为你在软件运行前或运行中更改过系统的时间。任意更改系统时间可能会造成软件运行不正常。如遇此情况,建议按如下方法解决:
    (1)卸载防火墙软件
    (2)将系统时间设置为正确的时间
    (3)重新安装防火墙软件
    如果因某些原因,确实需要临时修改系统时间来做某些测试,那么建议
    (1) 在防火墙软件运行期间不要修改系统时间。
    (2) 在运行防火墙软件前,确保系统时间是正确的。

    Q: 为什么攻击者IP显示为Unkonw?
    A: 攻击者IP显示为Unkonw时有几种可能:
    (1) 未启用“主动收集IP/MAC”功能,解决办法:点击菜单栏的“追踪”按钮
    (2) 如果“追踪”完成之后或者处于“主动收集-自动开始”状态,仍然显示为unkown,那么攻击者的MAC地址可能是伪造,无法追查到对应的IP地址。
    (3) v4.0.1存在一个BUG,在某些情况下,即使MAC地址是存在的,也可能无法追查到攻击者IP地址。v4.0.2已经解决了这个问题。

    Q: ARP防火墙的保护密码忘记了,怎么办?
    A: 有几种办法,
    (1) 进入到软件配置界面,清除之前设置的密码
    (2) 如果无法进入到软件配置界面,删除ARP防火墙安装目录下的aas.ini文件,然后重新运行软件即可。

    Q: 取消选中“拦截本机对外攻击”后,为何本机IP/MAC不显示了? (v4.0.1才有这个问题)
    A: 这是程序的BUG。这个BUG不影响防火墙的防御效果,只是本机IP/MAC无法显示,请放心使用。v4.0.2已经解决了这个问题。

    Q: 安装新版本前需要卸载旧版本吗?新版本能覆盖安装旧版本吗?
    A: 安装新版本前需要卸载旧版本,不能覆盖安装。

    Q: 如何卸载软件?
    A: 以下办法可任选其一
    (1) 进入 "控制面版 > 添加删除程序"
    (2) 运行安装程序,它会提示三个选项:Modify/Repair/Remove,选择remove即可进行卸载。
    (3) 4.0.2在开始菜单栏新加了“卸载”菜单

    Q: 如何手工卸载ARP防火墙?
    A: 按照以下方法,
    (1) 关闭ARP防火墙
    (2) 打开网卡属性界面,定位到带AntiARP字样的两个驱动,点击卸载
    (3) 打开注册表,搜索"AntiARP",把找到的条目,全部删除。
    (4) 删除文件

    Q: 软件设置里面已经设置为开机自动启动,但为何不起作用?
    A: 检查注册表 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下键值 AntiARPStandalone 指向的路径是否正确。如果不正确,删除AntiARPStandalone,再次运行防火墙时,会自动写入正确的键值。(或手工输入正确的键值)
    注1:4.0.2已经解决了这个问题,应该不会再出现这种情况。
    注2:Vista系统不支持“开机自动运行”功能

    Q: 任务管理器里面有进程,但无界面显示,怎么办?
    A: 目前有几位用户反馈了这个问题,暂时无法确认原因。如遇此情况,请按照以下方法试一下:
    1. 进入程序安装目录,打开Config.ini文件,将以下条目改为如下:
    AutoRun=0
    AutoMin=0
    AutoProtect=0
    2. 重起机器

    Q: 为何ARP防火墙显示乱码
    A: 因为你的机器没有正确设置语言。可参考以下方法来解决(感谢网友lzawindows提供):
    (1) 进入 控制面板 > “Regional and Language Options”
    (2) 确定 Languages页面的 Install files for East Asian Languages 已经选择并且安装了
    (3) 在Regional Options页面的 "Standards and formats"框选择“Chinese (PRC)”, 并且在 在“Location” 选择 China
    (4) 在Advanced页面的Language for non-unicode programs 里面选择 “Chinese (PRC)” 然后重新启动计算机。

    Q: 软件安装过程中,为何网络会中断?
    A: ARP防火墙单机版v4.0依赖驱动程序对ARP攻击数据进行拦截,软件安装过程中需要安装驱动程序,此时网络会有几秒种的中断,这是正常现象,请广大网友放心使用。

    Q: 更改本机IP地址时,为何软件会报告有攻击行为?
    A: 为了降低资源占用率,ARP防火墙每隔5秒读取一次网卡的IP地址设置。更改本机IP地址时,操作系统会向网络广播新的IP和MAC地址,此时如果防火墙还没有从网卡获取到新的IP地址,那么上述ARP广播包会被拦截,且会报告为本机正在向外攻击。上述ARP广播包被拦截后,不会对本机网络正常使用造成任何问题,请用户放心。注:从4.1beta1开始,已经解决了这个问题。

    Q: 防火墙支持以普通用户身份运行吗?
    A: 从v4.1beta1开始支持,之前的版本不支持。

    Q: 有无绿色版本(无需安装)?
    A: ARP防火墙需要与驱动程序配合,才能拦截恶意数据,所以需要通过安装程序来安装驱动,无绿色版本。

    Q: ARP防火墙为何也会拦截对外攻击的数据包?能禁止拦截吗?
    A: 如果本机感染了ARP病毒,这些病毒会对外发送大量攻击数据,可能会给用户带来一些不必要的麻烦,所以ARP防火墙默认会拦截对外攻击。从v4.0.1开始,支持将拦截对外攻击做为可配置。

    Q: 运行ARP防火墙之后,为何用"arp -a"命令还能看到其它主机?
    A: ARP防火墙不是拦截所有ARP包,只是拦截虚假的ARP包。所以它并不能保证你用"arp -a"命令看不到其它主机,但它能保证网关的MAC是正确的。反过来说,如果你用"arp -a"命令看不到任何主机,那么你的机器就“断网”了(或者说跟局域网内的所有机器都没有通讯)。

    ping
    一.基础知识:
    ping-TCP/IP协议中最有用的命令之一
    它给另一个系统发送一系列的数据包,该系统本身又发回一个响应,这条实用程序对查找远程主机很有用,它返回的结果表示是否能到达主机,宿主机发送一个返回数据包需要多长时间。
    Usage: ping 〔-t〕 〔-a〕 〔-n count〕 〔-l size〕 〔-f〕 〔-i TTL〕 〔-v TOS〕 〔-r count〕 〔-s count〕 〔〔-j host-list〕 〔-k host-list〕〕 〔-w timeout〕 destination-list

    Options:
    -t Ping the specifed host until interrupted.(除非人为中止,否则一直ping下去)
    -a Resolve addresses to hostnames.(解析计算机NetBios名)
    -n count Number of echo requests to send.(发送 count 指定的 ECHO 数据包数,默认值为 4)
    -l size Send buffer size.(发送指定的数据量的 ECHO 数据包。默认为 32 字节;最大值是 65,527)
    -f Set Don't Fragment flag in packet.(数据包中发送“不要分段”标志)
    -i TTL Time To Live.(在对方的系统里停留的时间)
    -v TOS Type Of Service.(服务类型)
    -r count Record route for count hops.(在“记录路由”字段中记录路由跳点所经过的路径。count 可以指定最少 1 台,最多 9 台计算机)
    -s count Timestamp for count hops.(记录记录路由跳点的缓存时间)
    -j host-list Loose source route along host-list.(利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为 9)
    -k host-list Strict source route along host-list.(利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP 允许的最大数量为 9)
    -w timeout Timeout in milliseconds to wait for each reply.(指定超时间隔,单位为毫秒)
    destination-list (指定要 ping 的远程计算机)

    其实这个命令主要是用来看对方应答的速度,如果怎么ping 得到的结果都是Request time out。那恐怕你根本就不用你去找这台主机了,它不在你的射程之内。

    二.使用实例

    -t: 不停的ping…………,直到你按下Ctrl-C。此功能没有什么特别的技巧,不过可以配合其他参数使用,无实例。

    -a:
    C:\>ping -a 218.19.49.213
    Pinging SJJ [218.19.49.213] with 32 bytes of data: 【正在发送 32 字节的包到 :218.19.49.213】
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116 【正确抵达/大小32字节/消耗时间 62ms/停留时间]
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Ping statistics for 218.19.49.213: 【资料统计】
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
    从上面就可以知道IP为218.19.49.213的计算机NetBios名为SJJ。

    -n
    在默认情况下,一般都只发送四个数据包,通过这个命令可以自己定义发送的个数,对衡量网络速度很有帮助,比如我想测试发送50个数据包的返回的平均时间为多少,最快时间为多少,最慢时间为多少就可以通过以下获知:
    C:\>ping -n 50 218.19.49.213

    Pinging 218.19.49.213 with 32 bytes of data:

    Reply from 218.19.49.213: bytes=32 time=71ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=61ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=61ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=61ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=50ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=61ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116
    Reply from 218.19.49.213: bytes=32 time=60ms TTL=116

    Ping statistics for 218.19.49.213:
    Packets: Sent = 50, Received = 50, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 50ms, Maximum = 71ms, Average = 57ms

    从以上我就可以知道在给218.19.49.213发送50个数据包的过程当中,返回了50个,这50个数据包当中返回速度最快为50ms,最慢为71ms,平均速度为57ms。

    -l
    在默认的情况下windows的ping发送的数据包大小为32byte,我们也可以自己定义它的大小,但有一个大小的限制,就是最大只能发送65500byte,也许有人会问为什么要限制到65500byt,因为Windows系列的系统都有一个安全漏洞(也许还包括其他系统)就是当向对方一次发送的数据包大于或等于65532时,对方就很有可能挡机,所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制,但这个参数配合其他参数以后危害依然非常强大,比如我们就可以通过配合-t参数来实现一个带有攻击性的命令(网络风暴,不可轻易使用)。
    c:\)ping -l aaaaaa -t xxx.xxx.xxx.xxx
    这样它就会不停的向xxx.xxx.xxx.xxx计算机发送大小为aaaaaabyte的数据包,如果你只有一台计算机也许没有什么效果,但如果有很多计算机那么就可以使对方完全瘫痪,网络严重堵塞,HTTP和FTP服务完全停止,由此可见威力非同小可。

    -f
    在一般你所发送的数据包都会通过路由分段再发送给对方,加上此参数以后路由就不会再分段处理。
    -i
    用于帮助你检查网络运转情况的。

    -r
    在一般情况下你发送的数据包是通过一个个路由才到达对方的,但到底是经过了哪些路由呢?通过此参数就可以设定你想探测经过的路由的个数,不过限制在了9个,也就是说你只能跟踪到9个路由,如果想探测更多,可以通过其他命令实现,我将在以后的文章中给大家讲解。以下为示例:

    C:\>ping -n 1 -r 9 218.19.49.213(发送一个数据包,最多记录9个路由)

    Pinging 218.19.49.213 with 32 bytes of data:

    Reply from 218.19.49.213: bytes=32 time=80ms TTL=116
    Route: 61.187.70.42->
    61.187.134.253 ->
    61.187.255.82 ->
    61.187.255.69 ->
    202.97.40.102 ->
    61.140.0.1 ->
    61.140.1.9 ->
    61.144.0.53 ->
    61.144.0.65

    Ping statistics for 218.19.49.213:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 80ms, Maximum = 80ms, Average = 80ms
    从上面我就可以知道从我的计算机到218.19.49.213一共通过了这几个路由。

    -s
    此参数和-r差不多,只是这个参数不记录数据包返回所经过的路由,最多也只记录4个。

    -j
    利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为 9。

    -k
    利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP 允许的最大数量为 9。

    -w
    此参数没有什么其他技巧。

    ping命令的其他技巧:
    1.在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,当然TTL的值在对方的主机里是可以修改的,Windows系列的系统可以通过修改注册表以下键值实现:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
    "DefaultTTL"=dword:000000ff
    255---FF
    128---80
    64----40
    32----20
    2.通过Ping检测网络故障的典型次序

    正常情况下,当你使用Ping命令来查找问题所在或检验网络运行情况时,你需要使用许多Ping命令,如果所有都运行正确,你就可以相信基本的连通性和配置参数没有问题;如果某些Ping命令出现运行故障,它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障:

    ping 127.0.0.1——这个Ping命令被送到本地计算机的IP软件,该命令永不退出该计算机。如果没有做到这一点,就表示TCP/IP的安装或运行存在某些最基本的问题。

    ping 本机IP——这个命令被送到你计算机所配置的IP地址,你的计算机始终都应该对该Ping命令作出应答,如果没有,则表示本地配置或安装存在问题。出现此问题时,局域网用户请断开网络电缆,然后重新发送该命令。如果网线断开后本命令正确,则表示另一台计算机可能配置了相同的IP地址。

    ping 局域网内其他IP——这个命令应该离开你的计算机,经过网卡及网络电缆到达其他计算机,再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答,那么表示子网掩码(进行子网分割时,将IP地址的网络部分与主机部分分开的代码)不正确或网卡配置错误或电缆系统有问题。

    ping 网关IP——这个命令如果应答正确,表示局域网中的网关路由器正在运行并能够作出应答。

    ping 远程IP——如果收到4个应答,表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet(但不排除ISP的DNS会有问题)。

    ping localhost——localhost是个操作系统的网络保留名,它是127.0.0.1的别名,每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内,则表示主机文件(/Windows/host)中存在问题。

    ping http://www.yahoo.com/——对这个域名执行Ping命令,你的计算机必须先将域名转换成IP地址,通常是通过DNS服务器。如果这里出现故障,则表示DNS服务器的IP地址配置不正确或DNS服务器有故障。顺便说一句:你也可以利用该命令实现域名对IP地址的转换功能。

    如果上面所列出的所有Ping命令都能正常运行,那么你对你的计算机进行本地和远程通信的功能基本上就可以放心了。但是,这些命令的成功并不表示你所有的网络配置都没有问题,例如,某些子网掩码错误就可能无法用这些方法检测到。

    61.187.255.82 ->
    61.187.255.69 ->
    202.97.40.102 ->
    61.140.0.1 ->
    61.140.1.9 ->
    61.144.0.53 ->
    61.144.0.65

    Ping statistics for 218.19.49.213:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 80ms, Maximum = 80ms, Average = 80ms
    从上面我就可以知道从我的计算机到218.19.49.213一共通过了这几个路由。

    -s
    此参数和-r差不多,只是这个参数不记录数据包返回所经过的路由,最多也只记录4个。

    -j
    利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为 9。

    -k
    利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP 允许的最大数量为 9。

    -w
    此参数没有什么其他技巧。

    ping命令的其他技巧:
    1.在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,当然TTL的值在对方的主机里是可以修改的,Windows系列的系统可以通过修改注册表以下键值实现:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
    "DefaultTTL"=dword:000000ff
    255---FF
    128---80
    64----40
    32----20
    2.通过Ping检测网络故障的典型次序

    正常情况下,当你使用Ping命令来查找问题所在或检验网络运行情况时,你需要使用许多Ping命令,如果所有都运行正确,你就可以相信基本的连通性和配置参数没有问题;如果某些Ping命令出现运行故障,它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障:

    ping 127.0.0.1——这个Ping命令被送到本地计算机的IP软件,该命令永不退出该计算机。如果没有做到这一点,就表示TCP/IP的安装或运行存在某些最基本的问题。

    ping 本机IP——这个命令被送到你计算机所配置的IP地址,你的计算机始终都应该对该Ping命令作出应答,如果没有,则表示本地配置或安装存在问题。出现此问题时,局域网用户请断开网络电缆,然后重新发送该命令。如果网线断开后本命令正确,则表示另一台计算机可能配置了相同的IP地址。

    ping 局域网内其他IP——这个命令应该离开你的计算机,经过网卡及网络电缆到达其他计算机,再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答,那么表示子网掩码(进行子网分割时,将IP地址的网络部分与主机部分分开的代码)不正确或网卡配置错误或电缆系统有问题。

    ping 网关IP——这个命令如果应答正确,表示局域网中的网关路由器正在运行并能够作出应答。

    ping 远程IP——如果收到4个应答,表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet(但不排除ISP的DNS会有问题)。

    ping localhost——localhost是个操作系统的网络保留名,它是127.0.0.1的别名,每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内,则表示主机文件(/Windows/host)中存在问题。

    ping http://www.yahoo.com/——对这个域名执行Ping命令,你的计算机必须先将域名转换成IP地址,通常是通过DNS服务器。如果这里出现故障,则表示DNS服务器的IP地址配置不正确或DNS服务器有故障。顺便说一句:你也可以利用该命令实现域名对IP地址的转换功能。

    如果上面所列出的所有Ping命令都能正常运行,那么你对你的计算机进行本地和远程通信的功能基本上就可以放心了。但是,这些命令的成功并不表示你所有的网络配置都没有问题,例如,某些子网掩码错误就可能无法用这些

    用360的ARP攻击拦截就可以了。
    ◆360安全卫士,反恶意插件入侵、修复IE、修复系统漏洞、系统关键位置保护:
    http://my.360safe.com/download.html?id=1483932

    1、网络现象

    最近,公司局域网出现了大面积的主机间歇性的频繁断线故障。有时能够很快自动恢复连接,但有时要长达好几分钟。由于公司的很多业务需要多人在线协作完成,另外,公司局域网的视频点播系统对网络的连通性要求很高。因此,虽然只有几分钟的掉线,但是对公司的正常业务影响很大。

    笔者先从最可能造成此故障的的物理链路入手检测,通过专业工具的检测没有发现异常。排除硬件故障,那么最有可能是病毒作祟了。局域网中最邪恶的病毒首推ARP了,它往往会造成莫名其妙的网络故障。而且,本例中的网络故障症状极似ARP攻击,因此把重点放在定位ARP源上。对于ARP攻击,常规办法是很难准确判断和定位的,于是笔者决定利用网络分析软件(科来网络分析软件)对局域网中的数据流进行抓包分析。

    因为网络抓包要在中心交换机上进行,所以为了方便大家理解,笔者绘制了公司的网络拓扑图,见图1。

    图1

    2. 抓包及分析

    首先,笔者将交换机做好端口镜像设置,然后把安装有“科来网络分析系统”的笔记本电脑接入镜像端口,抓取网络的所有数据进行分析。抓包时间20分钟,抓包完毕然后通过软件的“诊断”视图我们可以得出分析结果:诊断视图提示有太多“ARP无请求应答”见图2。这说明在局域网中有很多ARP应答包,应答包的数量远远大于请求包的数量。在网络中充斥着大量的ARP应答包,占用了网络带宽,造成网络拥堵,使得局域网断线频频。

    图2

    在诊断中,笔者同时发现:几乎所有的ARP应答都是由MAC地址为00:20:ED:AA:0D:04的客户端发起的。而且在“参考信息”中提示说可能存在ARP欺骗,看来当初的判断是对的,确实是网络中存在ARP欺骗。为了进一步确定,得结合其他内容信息,于是笔者查看了“协议视图”,以了解ARP协议的详细情况,如图3所示。

    图3

    从图3中所显示的协议分布来看,ARP Response和ARP Request相差比例太大了,这是极不正常的。接下来,再看看数据包的“详细情况”,如下图4。

    图4

    大家从图4中的“数据包信息”应该看出问题了,00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机自己是网关。从而充当中间人的角色,劫持该网段,被欺骗主机的信息流量都跑到该主机。

    3. 故障排除

    现在我们可以确定造成公司局域网频繁间歇性断线的罪魁祸首就是ARP欺骗攻击,下面要做的就是定位MAC地址为00:20:ED:AA:0D:04的主机。通过查询局域网内部的MAC地址和主机对应表,很快确定了该客户端。然后对该主机进行断网杀毒,果然查出了ARP病毒。最后把该主机连入局域网,经过一段时间的测试再没有出现本文开头所述的故障。

    4. 深入分析

    网络故障是排除了,但为什么会出现间歇性的断线呢?笔者通过分析找到了原因:MAC地址为00:20:ED:AA:0D:04 的主机,扫描攻击192.168.17.0 这个网段的所有主机,并欺骗该网段上的主机它就是网关,被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了。但非常有意思的是:通过笔者对抓包数据的分析MAC为00:20:ED:AA:0D:04的ARP源主机并没有欺骗真正的网关,所以公司网络才会出现断网后几分钟又自动连接的现象。

    5. 补充内容

    对于ARP 攻击的故障,我们还是可以防范的,以下三种是常见的方法:

    最老的办法:平时做好每台主机的MAC地址记录,出现状况的时候,可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况,参照之前做好的记录,也可以找出问题主机。

    图5

    ARP -s:可在MS-DOS窗口下运行该命令手工绑定网关IP和网关MAC。通过静态绑定,就能在一定程度上减少ARP攻击了。需要说明的是,手工绑定在计算机重起后就会失效,需要再绑定,但可以做一个批处理让它开机自己运行。

    图6

    使用软件(Antiarp):使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。

    图7

    总结

    这例由公司网络断线而起,利用网络分析软件定位并清除ARP病毒的案例,虽是个案,但带有一定的普遍性,希望对大家解决类似的网络故障有所帮助。另外,作为网络管理人员,学习并掌握网络分析工具对于大家解决实际问题会大有裨益。

    http://www.pcjx.com/Cisco/jie/209126.html

    (6) 安全模式-安全模式下只响应来自网关的ARP Request,别的机器发的ARP Request会被拦截,拦截后的数据显示在这里。
    (7) 抑制发送ARP-当你本机发送ARP的速度超过设定阀值时,防火墙会启动拦截,拦截后的数据会显示这里。
    (8) 分析接收到的ARP-显示的是本机收到的所有ARP数据包,用以分析网络状况。这里显示的数据只是供经验丰富的网管人员分析网络中是否存在潜在的攻击者或者中毒机器,与是否存在ARP攻击没有必然联系。如果你不是网管人员,且你现在网络正常,完全可以忽略这里面显示的数据。

    Q: 怎么判断我是否中了ARP(病毒)?
    A: 只有ARP防火墙显示有“对外ARP攻击”,才能说明你中了ARP病毒(或者你正在使用攻击软件)。

    Q: “分析接收到的ARP”里面,有些机器发送的ARP数据量特别大,怎么办?
    A: 如果你是网管,在发送数据量大的机器安装ARP防火墙。 如果你不是网管,建议你要么把这个情况报给网管,要么就别操这份心了:D

    Q: ARP防火墙提示拦截到有“外部ARP攻击”,怎么办?
    A: 如果你的网络受到影响,建议你把主动防御设置为始终运行,如果情况没有好转,请逐步调大防御速度。你可以把情况报给网管,让他去消除攻击源。

    Q: 为何在“分析接收到的ARP”里面,会有很多来自网关的“非广播-Reply”包?
    A: 主动防御发送给网关ARP包后,网关会回复ARP Reply包。在两种情况下防火墙会发送主动防御包给网关,
    (1) 主动防御设置为“始终运行”时
    (2) 主动防御设置为“警戒”,当检测到攻击,切换到“警戒-启动防御”时

    Q: 为何ADSL连接后,报“WINDOWS\System32\svchost.exe”对外进行攻击?
    A: 非常抱歉,这是误报,我们将在下一版本解决这个问题。这个误报的表现形式为:“对外IP攻击”,类型为“ip protocol no:139”或“ip protocol no:2”(v4.1才有这个问题)

    Q: 什么是洪水抑制?
    A: 洪水攻击即DoS攻击,即常说的拒绝服务攻击。ARP防火墙的洪水抑制功能,可以根据你设定的阀值,在数据(TCP SYN/UDP/ICMP)流量达到阀值时,开始进行拦截。用于拒绝服务攻击(DoS攻击)的数据包于普通的数据包没有太多差异,发包速度几乎是唯一的判断标准。某些应用程序,可能会造成很大的流量(如PPLive,Emule,BT等),如果洪水抑制的阀值设置不当,可能会影响你的正常使用。如果你对洪水攻击(DoS攻击)不熟悉,强烈建议不要启用“洪水抑制”功能,以免影响你的正常使用!

    Q: 洪水抑制有何作用?
    A: 对于单台机器的意义:避免本机中病毒后,成为DoS攻击源。拦截本机对外的DoS攻击数据,可以降低本机的网络流量,保障网络畅通,发现本机的DoS病毒,避免给自己带来潜在的麻烦。
    对于局域网的意义:如果局域网内全部部署了带洪水抑制功能的ARP防火墙,可以保障局域网机器不受DoS攻击影响,把DoS攻击扼杀在源头,保证局

    下载一个MS06-040就可以防止断线问题。封闭端口105 059.就可以防止ARP Request冲击

    扩展阅读:万能检测ip冲突工具 ... ip proxy-arp ... arp a 某个ip地址 ... arp请求的目的ip地址是 ... 通过arp表查看ip冲突 ... 您的ip已被记录网警 ... arp绑定和静态ip区别 ... ip arp icmp作用 ... 能通过arp检测ip地址冲突 ...

    本站交流只代表网友个人观点,与本站立场无关
    欢迎反馈与建议,请联系电邮
    2024© 车视网