萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> ARP防火牆優化設置圖解

ARP防火牆優化設置圖解

一、一般選項
1.顯示配置
(1)〖自動最小化到系統欄〗
(2)〖啟動後自動隱藏(需先設置熱鍵)〗請先設置熱鍵,不然隱藏後主界面將無法呼出。
(3)〖攔截到攻擊時彈出氣泡提示〗
(4)〖攔截到攻擊時閃動圖標提示〗
(5)〖ARP緩存表被篡改時彈出氣泡提示〗ARP防火牆會自動監測本機ARP緩存表,當發現網關MAC地址還篡改時,可彈出氣泡提示。禁用彈出氣泡提示,不影響防火牆繼續監測和修復本機ARP緩存。
(6)〖程序狀態改變時彈出氣泡提示〗
(7)〖自動切換到有最新數據的頁面〗
(8)〖隱藏沒有數據的頁面〗
2.密碼保護
密碼保護可用於程序卸載、隱藏界面呼出、程序退出、參數設置。
3.運行配置
(1)〖登錄後自動運行〗用戶登錄系統時自動運行ARP防火牆,用戶注銷後防火牆終止運行。系統開機後如果無用戶登錄,防火牆將不會運行。
(2)〖程序運行後自動開始保護〗程序運行後自動進入保護狀態
(3)〖自動檢測新版本〗檢測到可用新版本時,提醒用戶是否打開下載頁面。ARP防火牆不會自動下載和自動更新到新版本。默認是隔7天檢測一次有無可用新版本。
4.熱鍵配置
5.數據分析
(1)〖分析接收到的ARP數據包〗分析接收到的所有ARP數據包,分析ARP數據包主要由哪些機器產生,以掌握網絡情況,為找出局域網內潛在的攻擊者或中毒機器提供幫助。注意:接收到大量ARP數據包,並不意味著本機存在問題,只代表本局域網內可能存在攻擊者或中毒機器。

二、主動防御和追蹤
1.主動防御
ARP攻擊軟件一般會發送兩種類型的攻擊數據包:
(1)向本機發送虛假的ARP數據包。此種攻擊包,ARP防火牆可以100%攔截。
(2)向網關發送虛假的ARP數據包。因為網關機器通常不受我們控制,所以此種攻擊包我們無法攔截。“主動防御”的功能就是,“告訴”網關,本機正確的MAC地址應該什麼,不要理睬虛假的MAC地址。

主動防御支持三種模式
(1)停用。任何情況下都不向網關發送本機正確的MAC地址。
(2)警戒。平時不向網關發送本機正確的MAC地址,狀態為“警戒-待命”。當檢測到本機正在受到ARP攻擊時,狀態切換為“警戒-啟動防御”,開始向網關發送本機正確的MAC地址,以保證網絡不會中斷。持續30秒沒有檢測到攻擊時,狀態從“警戒-啟動防御”切換回“警戒-待命”,停止發包,
(3)始終運行。始終向網關發送本機正確的MAC地址。如果攻擊者只向網關發送攻擊數據,不向本機發送攻擊數據,那麼如果主動防御處於“警戒”狀態時是無法保證網絡不會中斷的,“始終運行”主動防御功能,可以應對這種情況。強烈建議校園網用戶不要把主動防御設置為始終運行,以避免被網絡管理中心誤判為中毒機器,如果確實需要,建議把防御值設置為1~2。

關於主動防御的速度
主動防御功能默認配置為:警戒狀態,發包速度10 pkts/s。經過彩影軟件大量測試,防御速度為10pkts/s時可以應對市面上大多數ARP攻擊軟件。向網關發送正確MAC時,每次會發送兩種類型的數據包,每個數據包大小是42字節(Bytes),所以當速度為10時,網絡流量是: 10*2*42=840Bytes,即不到1KBytes/s。同理可計算,防御速度為100時,網絡流量<10KBytes/s。防御速度支持自定義,用戶可以根據自己的網絡情況自行調准,強烈建議校園網用戶不要設置過高的防御值(超過5),以避免被網絡管理中心誤判為中毒機器。
2.追蹤攻擊者IP(MAC掃描)
(1)〖被動收集IP/MAC對應表〗此功能默認啟用,且不可撤銷。ARP防火牆通過分析接收到的所有ARP數據包,從而在不發包的情況收集局域網內的IP/MAC對應表,為追蹤攻擊者做好准備。
(2)〖主動收集-手動開始〗點擊菜單欄“追蹤”按鈕後,開始主動發包探測局域網內的IP/MAC對應表。
(3)〖主動收集-自動開始〗自動開始主動發包探測局域網內的IP/MAC對應表,不需用戶干預。掃一個IP間隔3秒的意思是:每隔3秒發一個包。掃一圈間隔60分鐘的意思是:對局域網的掃描完成之後,休息60分鐘,接著才開始再繼續掃描一遍。強烈建議校園網用戶不要設置此選項,以避免被網絡管理中心誤判為中毒機器。一般情況下,"被動收集"和"主動收集-手動開始"已經足以追查到攻擊者IP,如果MAC不是偽造的話。
3.網關IP/MAC
(1)〖自動獲取〗由ARP防火牆自動探測網關的IP和MAC。如果在ARP防火牆啟動之前,本機就已經處於ARP攻擊之下,那麼ARP防火牆探測到的網關MAC有可能會是虛假的,概率取決於攻擊強度,即攻擊強度越大,獲取到虛假MAC的可能性就越大。
(2)〖手動設置〗為了解決自動獲取MAC可能系偽造的問題,用戶可手動設置網關IP/MAC。網關的正確MAC可咨詢網管人員,或通過"arp -a"命令來查詢。注意:如果已經處於ARP攻擊之下,通過"arp -a"命令查看到的網關MAC也有可能是偽造的。

三、防御選項
1.ARP抑制
(1)〖抑制發送ARP〗當本機發送ARP數據包的速度超過閥值時,ARP防火牆會啟動攔截程序。一般情況下,本機發送ARP的速度不應該超過10個/秒。
(2)〖一並攔截發送的ARP Reply〗如果攔截本機發送的ARP Reply,其它機器將無法獲取你的MAC地址,將無法主動與你的機器取得聯系,但你的機器可主動與其它機器聯系。
(3)〖安全模式〗只響應來自網關的ARP Request,以降低受到ARP攻擊的概率。
2.洪水(Flood)抑制
洪水攻擊即DoS攻擊,常見的有TCP SYN Flood、ICMP Flood、UDP Flood等。DoS數據包與普通數據包無異,唯一判斷的標准是它發包的速度。如果你是個人用戶,強烈建議不要啟用“抑制發送UDP”和“抑制發送ICMP”的功能,以免影響你的正常使用。
3.攔截攻擊
(1)〖攔截外部ARP攻擊〗此功能默認啟用且不可撤銷,因為撤銷之後本機將無法受到保護,安裝運行ARP防火牆也就沒有意義了。
(2)〖攔截外部IP沖突攻擊〗此功能默認啟用且不可撤銷
(3)〖攔截本機對外ARP攻擊〗如果本機中了ARP病毒,在病毒對局域網進行攻擊時,ARP防火牆可以把攻擊數據攔截,把攻擊扼殺在源頭。
(4)〖攔截本機對外偽造IP攻擊〗如果本機中了DoS病毒(帶DoS攻擊功能的病毒),在病毒偽裝成其它IP,對局域網或其它網絡進行DoS攻擊時,ARP防火牆可以把攻擊數據攔截,把攻擊扼殺在源頭。

copyright © 萬盛學電腦網 all rights reserved