ARP防火牆優化設置圖解

一、一般選項
1.顯示配置
     (1)〖自動最小化到系統欄〗
     (2)〖啟動後自動隱藏（需先設置熱鍵）〗請先設置熱鍵，不然隱藏後主界面將無法呼出。
     (3)〖攔截到攻擊時彈出氣泡提示〗
     (4)〖攔截到攻擊時閃動圖標提示〗
     (5)〖ARP緩存表被篡改時彈出氣泡提示〗ARP防火牆會自動監測本機ARP緩存表，當發現網關MAC地址還篡改時，可彈出氣泡提示。禁用彈出氣泡提示，不影響防火牆繼續監測和修復本機ARP緩存。
     (6)〖程序狀態改變時彈出氣泡提示〗
     (7)〖自動切換到有最新數據的頁面〗
     (8)〖隱藏沒有數據的頁面〗
2.密碼保護
     密碼保護可用於程序卸載、隱藏界面呼出、程序退出、參數設置。
3.運行配置
     (1)〖登錄後自動運行〗用戶登錄系統時自動運行ARP防火牆，用戶注銷後防火牆終止運行。系統開機後如果無用戶登錄，防火牆將不會運行。

.

     (2)〖程序運行後自動開始保護〗程序運行後自動進入保護狀態
     (3)〖自動檢測新版本〗檢測到可用新版本時，提醒用戶是否打開下載頁面。ARP防火牆不會自動下載和自動更新到新版本。默認是隔7天檢測一次有無可用新版本。
4.熱鍵配置
5.數據分析
     (1)〖分析接收到的ARP數據包〗分析接收到的所有ARP數據包，分析ARP數據包主要由哪些機器產生，以掌握網絡情況，為找出局域網內潛在的攻擊者或中毒機器提供幫助。注意：接收到大量ARP數據包，並不意味著本機存在問題，只代表本局域網內可能存在攻擊者或中毒機器。

.

.

二、主動防御和追蹤
1.主動防御
     ARP攻擊軟件一般會發送兩種類型的攻擊數據包：
     (1)向本機發送虛假的ARP數據包。此種攻擊包，ARP防火牆可以100%攔截。
     (2)向網關發送虛假的ARP數據包。因為網關機器通常不受我們控制，所以此種攻擊包我們無法攔截。“主動防御”的功能就是，“告訴”網關，本機正確的MAC地址應該什麼，不要理睬虛假的MAC地址。 .

     主動防御支持三種模式
     (1)停用。任何情況下都不向網關發送本機正確的MAC地址。
     (2)警戒。平時不向網關發送本機正確的MAC地址，狀態為“警戒－待命”。當檢測到本機正在受到ARP攻擊時，狀態切換為“警戒－啟動防御”，開始向網關發送本機正確的MAC地址，以保證網絡不會中斷。持續30秒沒有檢測到攻擊時，狀態從“警戒－啟動防御”切換回“警戒－待命”，停止發包，
     (3)始終運行。始終向網關發送本機正確的MAC地址。如果攻擊者只向網關發送攻擊數據，不向本機發送攻擊數據，那麼如果主動防御處於“警戒”狀態時是無法保證網絡不會中斷的，“始終運行”主動防御功能，可以應對這種情況。強烈建議校園網用戶不要把主動防御設置為始終運行，以避免被網絡管理中心誤判為中毒機器，如果確實需要，建議把防御值設置為1~2。 .

     關於主動防御的速度
     主動防御功能默認配置為：警戒狀態，發包速度10 pkts/s。經過彩影軟件大量測試，防御速度為10pkts/s時可以應對市面上大多數ARP攻擊軟件。向網關發送正確MAC時，每次會發送兩種類型的數據包，每個數據包大小是42字節(Bytes)，所以當速度為10時，網絡流量是： 10*2*42=840Bytes，即不到1KBytes/s。同理可計算，防御速度為100時，網絡流量<10KBytes/s。防御速度支持自定義，用戶可以根據自己的網絡情況自行調准，強烈建議校園網用戶不要設置過高的防御值（超過5），以避免被網絡管理中心誤判為中毒機器。
2.追蹤攻擊者ip(MAC掃描)
     (1)〖被動收集IP/MAC對應表〗此功能默認啟用，且不可撤銷。ARP防火牆通過分析接收到的所有ARP數據包，從而在不發包的情況收集局域網內的IP/MAC對應表，為追蹤攻擊者做好准備。
     (2)〖主動收集－手動開始〗點擊菜單欄“追蹤”按鈕後，開始主動發包探測局域網內的IP/MAC對應表。
     (3)〖主動收集－自動開始〗自動開始主動發包探測局域網內的IP/MAC對應表，不需用戶干預。掃一個IP間隔3秒的意思是：每隔3秒發一個包。掃一圈間隔60分鐘的意思是：對局域網的掃描完成之後，休息60分鐘，接著才開始再繼續掃描一遍。強烈建議校園網用戶不要設置此選項，以避免被網絡管理中心誤判為中毒機器。一般情況下，"被動收集"和"主動收集－手動開始"已經足以追查到攻擊者IP，如果MAC不是偽造的話。

.

3.網關IP/MAC
     (1)〖自動獲取〗由ARP防火牆自動探測網關的IP和MAC。如果在ARP防火牆啟動之前，本機就已經處於ARP攻擊之下，那麼ARP防火牆探測到的網關MAC有可能會是虛假的，概率取決於攻擊強度，即攻擊強度越大，獲取到虛假MAC的可能性就越大。
     (2)〖手動設置〗為了解決自動獲取MAC可能系偽造的問題，用戶可手動設置網關IP/MAC。網關的正確MAC可咨詢網管人員，或通過"arp -a"命令來查詢。注意：如果已經處於ARP攻擊之下，通過"arp -a"命令查看到的網關MAC也有可能是偽造的。 .

.

.

三、防御選項
1.ARP抑制
     (1)〖抑制發送ARP〗當本機發送ARP數據包的速度超過閥值時，ARP防火牆會啟動攔截程序。一般情況下，本機發送ARP的速度不應該超過10個/秒。
     (2)〖一並攔截發送的ARP Reply〗如果攔截本機發送的ARP Reply，其它機器將無法獲取你的MAC地址，將無法主動與你的機器取得聯系，但你的機器可主動與其它機器聯系。
     (3)〖安全模式〗只響應來自網關的ARP Request，以降低受到ARP攻擊的概率。
2.洪水(Flood)抑制
     洪水攻擊即DoS攻擊，常見的有TCP SYN Flood、ICMP Flood、UDP Flood等。DoS數據包與普通數據包無異，唯一判斷的標准是它發包的速度。如果你是個人用戶，強烈建議不要啟用“抑制發送UDP”和“抑制發送ICMP”的功能，以免影響你的正常使用。
3.攔截攻擊
     (1)〖攔截外部ARP攻擊〗此功能默認啟用且不可撤銷，，因為撤銷之後本機將無法受到保護，安裝運行ARP防火牆也就沒有意義了。
     (2)〖攔截外部IP沖突攻擊〗此功能默認啟用且不可撤銷
     (3)〖攔截本機對外ARP攻擊〗如果本機中了ARP病毒，在病毒對局域網進行攻擊時，ARP防火牆可以把攻擊數據攔截，把攻擊扼殺在源頭。 .
     (4)〖攔截本機對外偽造IP攻擊〗如果本機中了DoS病毒（帶DoS攻擊功能的病毒），在病毒偽裝成其它IP，對局域網或其它網絡進行DoS攻擊時，ARP防火牆可以把攻擊數據攔截，把攻擊扼殺在源頭。 .

.

.