ARP防火墙使用方法.docx

1、ARP防火墙使用方法ARP防火墙 你的网络是否经常掉线，是否经常发生IP冲突？你是否担心通讯数据受到监控（如MSN、QQ、EMAIL）？你的网络速度是否受到网管软件限制（如聚生网管、P2P终结者）？你是否深受各种ARP攻击软件之苦（如网络执法官、网络剪刀手、局域网终结者）？ 以上各种问题的根源都是ARP欺骗（ARP攻击）。在没有ARP欺骗之前，数据流向是这样的：网关本机。ARP欺骗之后，数据流向是这样的：网关攻击者（“网管”）本机，本机与网关之间的所有通讯数据都将流经攻击者（“网管”），所以“任人宰割”就在所难免了。 ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的M

2、AC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，从而完美的解决上述所有问题。 编辑本段【ARP防火墙九大功能】1. 拦截ARP攻击。(A) 在系统内核层拦截外部虚假ARP数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全；(B) 在系统内核层拦截本机对外的ARP攻击数据包，以减少感染恶意程序后对外攻击给用户带来的麻烦；2. 拦截IP冲突。在系统内核层拦截IP冲突数据包，保障系统不受IP冲突攻击的影响；3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包，定位恶

3、意发动DoS攻击的程序，从而保证网络的畅通；4. 安全模式。除了网关外，不响应其它机器发送的ARP Request，达到隐身效果，减少受到ARP攻击的几率；5. ARP数据分析。分析本机接收到的所有ARP数据包，掌握网络动态，找出潜在的攻击者或中毒的机器；6. 监测ARP缓存。自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改，将报警并自动修复，以保持网络畅通及通讯安全；7. 主动防御。主动与网关保持通讯，通告网关正确的MAC地址，以保持网络畅通及通讯安全；8. 追踪攻击者。发现攻击行为后，自动快速锁定攻击者IP地址； 9. ARP病毒专杀。发现本机有对外攻击行为时，自动定位本机感染

4、的恶意程序、病毒程序； 编辑本段【ARP协议工作原理简介】ARP是Address Resolution Protocal（地址转换协议）的简称，是TCP/IP协议中最底层的协议之一。它的作用是完成IP地址到MAC（物理地址）的转换。在局域网中两台计算机之间的通讯，或者局域网中的计算机将IP数据报转发给网关的时候，网卡都需要知道目标计算机的物理地址，以填充物理帧中的目的地址。 现在假设同一以太网中的计算机A（192.168.0.1）需要向计算机B（192.168.0.2）发送数据报，而此时A尚不知道B的物理地址。为了获得B的物理地址，A在局域网上发送ARP广播，查询192.168.0.2这个物理

5、地址，同时在ARP包中填入自己的物理地址Ma，相当于发出这样的询问“谁拿了192.168.0.2这个地址？请回Ma这个物理地址。”计算机B在收到了这个查询以后，以Ma为目的地址发回一个ARP包，里面包含了自己的物理地址。这样通讯的双方都了解了对方的物理地址，通讯过程正式建立。 通常ARP协议都在支持广播的网络上使用，比方以太网，这种数据包不能跨物理网段使用，即不能跨越一个路由器（除路由器本身还用作ARP代理以外）。 在实际的ARP协议软件的实现中还有一些应该注意的事项：每台计算机上都有一个ARP缓冲，它保存了一定数量的从IP地址到MAC地址的映射，同时当一个ARP广播到来时，虽然这个ARP广播

6、可能与它无关，但ARP协议软件也会把其中的物理地址与IP地址的映射记录下来，这样做的好处是能够减少ARP报在局域网上发送的次数。同时，ARP缓冲中IP地址与物理地址之间的映射并不是一但生成就永久有效，每一个ARP映射表项都有自己的时延，如果过了一定的时间还没有新的ARP到来，那么这个ARP映射就从缓冲中被删除了。那么下一次计算机向这个IP地址发送数据包的时候必须来一次新的查询。 本地网络IP 查找的原理 事实上Windows 本身就用ARP来确定自己的IP地址是否与网络上的另一台计算机发生了冲突。当一个ARP包到来时，Windows 如果检查到其中的IP地址与本机上的相同，而物理地址不同，这时

7、Windows 就会向用户报告这个IP地址已经被别人占用。非常有意思的时，Windows 对待IP地址是以先来后到的顺序分配，如果已经有人先占了，那么本机的网络接口就会被禁用。这也是非常恼人的“特色”因为一旦开机后有了第一次冲突，以后的任何网络操作就都无效了。Windows XP 有了一定的进步，它在发现冲突以后并不禁用接口，而是允许用户进行修复。其实用sniffer可以看到所谓的“修复”也不过是发了几个ARP包出去，把IP“抢”回来。 在以前的文章中我描述了一个用ICMP 回送请求（类似PING）进行IP查找的程序。这个程序用并发的几十个线程同时PING网络上的多台计算机，如果回送请求被正确

8、的应答了，那么可以认为这个IP地址已经被占用，如果没有，我们就宣称它是空闲的。然而它有优点也有缺点，其优点是能够PING很远的计算机，即使不在同一个物理网段上，缺点是当目标计算机上安装了防火墙并禁止了ICMP包，或者采用了防ICMP flood 攻击的规则以后都有可能让ICMP回送请求得不到应答。 ARP的优点与缺点正好与ICMP相反。它无法跨物理网段进行IP查找，但是由于没有防火墙禁止ARP包的通过（想想看，如果禁止了ARP包，也就等于不让人家知道你的物理地址，那么实际上也就是将自己的计算机同网络断开了），所以ARP包的IP查找结果一定是非常精准的。 在实现了一个原始的ARP IP查找版本以

9、后，我发现其结果并不准确，有些已经没有人使用的IP地址被错误的报成有人占用了，难道我的判断是错误的？当然不，这种错误的原因是在Windows 的ARP缓冲中。实际上，在发送一个ARP报文的时候，Windows会首先检查本机的ARP缓冲，如果发现了已经有对应的ARP表项，而且还没有过期的话，Windows 并不会发送这个报文，而是直接返回给调用者这个ARP表项的内容。这样一来，假设有计算机中途掉网，而它的ARP表项还没有过期，那么这个程序仍然能够得到它的IP到MAC的映射，自然也就会错误的宣称这个IP地址还在使用中了。在运行这个程序前，我使用arp d（事实上，在看了本文以后，你就可以实现一个这

10、样的arp程序了）这个命令来删除缓冲中所有的ARP表项，然后得到的结果就非常准确了。IP Helper API 提供了管理ARP缓冲的过程，所以我修改了这个程序，把arp d的功能集成到了自己的程序中来。如果看看使用TCP/IP协议实际网际互连（第二卷）你就会明白ARP协议软件中的诸多问题。 IP Helper API GetIpNetTable 函数能够提取出本机上的所有ARP表项。使用它的方法与上一篇文章中使用的函数相当的类似，你也必须两次使用它，第一次获得缓冲的大小，而第二次获得实际的ARP表。这个映射表是以数组的方式指出的。其结构如下： typedef struct _MIB_IPNE

11、TTABLE DWORD dwNumEntries; /数组的大小 MIB_IPNETROW tableANY_SIZE; /数组本身 MIB_IPNETTABLE, *PMIB_IPNETTABLE; 而MIB_IPNETROW 的定义： typedef struct _MIB_IPNETROW DWORD dwIndex; / 网络接口的索引号 DWORD dwPhysAddrLen; / 物理地址长度 BYTE bPhysAddrMAXLEN_PHYSADDR; / 物理地址 DWORD dwAddr; / IP地址 DWORD dwType; / ARP表项类型 MIB_IPNETRO

12、W, *PMIB_IPNETROW; 其中dwType 即ARP表项类型是比较重要的东西，因为某些ARP表项一但设定就不再改变，比方本机地址的ARP表项和默认网关的地址表项等等，这些ARP表项并不会“过期”，除非网络故障或者设置改变了以后，会重新生成一次ARP查询。这种表项被称为“静态”的。此时dwType的值为4。在程序中，我们不必删除这类表项（虽然删了它们也不会造成什么后果）。 然而在实际的程序中，我使用了FlushIPNetTable这个函数来删除特定网卡上的ARP缓冲。 然后是删除一个表项的DeleteIpNetEntry，修改表项的SetIpNetEntry 和添加表项的Create

13、IpNetEntry 。还有两个管理代理ARP表项的函数，关于代理ARP，可以看看使用TCP/IP 协议实现网际互连（第一卷）关于ARP代理的部分，由于与我们的程序无关，就不做介绍了。 最后需要详述的函数是SendARP。它的原型如下： DWORD SendARP( IPAddr DestIP, / 目的IP 地址 IPAddr SrcIP, / 源IP地址，可选参数，把它填成0不会有问题 PULONG pMacAddr, / 返回的物理地址 PULONG PhyAddrLen / 物理地址的长度 ); 对于我们的这个程序来说，返回了什么样的值并不重要，只要它成功的返回了，就说明这个IP被占用

14、了。 编辑本段【市面主流防火墙及评测】1.瑞星防火墙 瑞星防火墙国内老牌的安全软件厂商。2.风云防火墙 风云防火墙国内防火墙新兴力量，风云防火墙。风云防火墙将秉持自己的简约而不简单的核心开发思想，认真综合、考虑用户的建议，开发、整合适于当前网络时代防火墙趋势与理念的功能，为用户提供防护优秀、功能实用、操作简单、占用资源低的风云防火墙。3.奇虎360ARP防火墙 360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，完美的解决局域网内ARP攻击问题。4.彩影AR

15、P防火墙个人版 彩影防火墙ARP防火墙采用内核层拦截技术和主动防御技术，几大功能模块（拦截ARP攻击/拦截IP冲突/DoS攻击抑制/安全模式/ARP数据分析/监测ARP缓存/主动防御/追踪攻击源/查杀ARP病毒/系统时间保护/IE首页保护/ARP缓存保护/自身进程保护/智能防御）互相配合，可彻底解决ARP相关问题，扼杀DoS攻击源。5.超级巡警 超级巡警防火墙专门查杀并可辅助查杀各种木马、流氓软件、利用rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具，提供系统/IE修复、隐私保护和安全优化功能，提供了全面的系统监测功能，使你对系统的变化了如指掌，配合手动

16、分析可近100%的查杀未知恶意代码！6.金山ARP防火墙 金山防火墙金山ARP防火墙能够双向拦截ARP欺骗攻击包，监测锁定攻击源，时刻保护局域网用户PC的正常上网数据流向，是一款是适于个人用户的反ARP欺骗保护工具！网关动态探测+识别识破伪造的网关地址动态获取、并分析判断后为受保护PC绑定正确的网关地址，从而时刻保障保护本机上网数据的正确流向。同时也支持用户手动设置绑定网关地址。主动向真网关表明合法身份双向拦截ARP攻击外部攻击、本机受感染攻击均不影响使用拦截来自外部接受或是由本机发出的ARP攻击数据包并提醒用户，保障本机及其它PC的网络通畅。保护本机不受IP冲突攻击的影响攻击源追踪锁定，抓住

17、罪魁祸首拦截到ARP攻击包后立即追踪攻击源，找出安全威胁源头。主动实时升级主动漏洞修复。让受保护PC在局域网隐身，恶性攻击无从下手独有“安全桌面”：采用底层驱动技术特殊保护下的独立空间，有效隔绝盗号木马的各种攻击，尤其适合进行全屏游戏的时候使用，并且和正常桌面之间的切换方便无门槛。当程序在密保的保护下运行时，如有其他程序对其产生注入等可疑行为的时候，利用金山毒霸强大的互联网可信认证技术，利用强大的后台数据支持来判断安全与否，从而最大程度的减少对用户的骚扰，且更有利于拦截危险程序可疑行为拦截+互联网可信认证当程序在密保的保护下运行时，如有其他程序对其产生注入等可疑行为的时候，利用金山毒霸强大的互

18、联网可信认证技术，利用强大的后台数据支持来判断安全与否，从而最大程度的减少对用户的骚扰，且更有利于拦截危险程序。当程序在密保的保护下运行时，如有其他程序对其产生注入等可疑行为的时候，利用金山毒霸强大的互联网可信认证技术，利用强大的后台数据支持来判断安全与否，从而最大程度的减少对用户的骚扰，且更有利于拦截危险程序。对被保护进程使用了进程隐藏功能之后，如同穿上了传说中的隐身衣，这些进程将无法被Ring3层的其他程序所发现。从而加大了木马查找并攻击这些程序的难度。（注意：这个功能可能会导致某些使用了行为拦截技术的软件误报为Rootkit）。问题答疑 ARP防火墙的使用方法窗体顶端窗体底端关于“arp

19、防火墙使用.”的内容 本站搜索更多关于“arp防火墙使用方法”的内容 Q: 防火墙软件支持哪些平台？A: 目前支持Windows 2000/xp/2003，从4.1beta2开始支持vista(x32)，不支持windows 98/me/vista(x64)。Q: ARP防火墙显示的几种不同类型的数据是什么意思？A: 目前ARP防火墙显示的数据类型有以下几种， (1) 外部ARP攻击显示的数据是别人对你的ARP攻击（别人攻击你） (2) 外部IP冲突显示的数据是别人对你的IP冲突攻击（别人攻击你） (3) 对外ARP攻击显示的数据是你对别人的ARP攻击（你攻击别人） (4) 对外IP攻击显示的

20、数据是你对别人的伪造源IP攻击，通常是TCP SYN Flood（你攻击别人） (5) 对外IP洪水当你本机发送数据的速度超过设定的阀值时，防火墙会启动拦截，拦截后的数据会显示这里。 (6) 安全模式安全模式下只响应来自网关的ARP Request，别的机器发的ARP Request会被拦截，拦截后的数据显示在这里。 (7) 抑制发送ARP当你本机发送ARP的速度超过设定阀值时，防火墙会启动拦截，拦截后的数据会显示这里。 (8) 分析接收到的ARP显示的是本机收到的所有ARP数据包，用以分析网络状况。这里显示的数据只是供经验丰富的网管人员分析网络中是否存在潜在的攻击者或者中毒机器，与是否存在A

21、RP攻击没有必然联系。如果你不是网管人员，且你现在网络正常，完全可以忽略这里面显示的数据。Q: 怎么判断我是否中了ARP（病毒）？A: 只有ARP防火墙显示有“对外ARP攻击”，才能说明你中了ARP病毒（或者你正在使用攻击软件）。Q: “分析接收到的ARP”里面，有些机器发送的ARP数据量特别大，怎么办？A: 如果你是网管，在发送数据量大的机器安装ARP防火墙。 如果你不是网管，建议你要么把这个情况报给网管，要么就别操这份心了:DQ: ARP防火墙提示拦截到有“外部ARP攻击”，怎么办？A: 如果你的网络受到影响，建议你把主动防御设置为始终运行，如果情况没有好转，请逐步调大防御速度。你可以把情

22、况报给网管，让他去消除攻击源。Q: 为何在“分析接收到的ARP”里面，会有很多来自网关的“非广播Reply”包？A: 主动防御发送给网关ARP包后，网关会回复ARP Reply包。在两种情况下防火墙会发送主动防御包给网关， (1) 主动防御设置为“始终运行”时 (2) 主动防御设置为“警戒”，当检测到攻击，切换到“警戒启动防御”时Q: 为何ADSL连接后，报“WINDOWSSystem32svchost.exe”对外进行攻击？A: 非常抱歉，这是误报，我们将在下一版本解决这个问题。这个误报的表现形式为：“对外IP攻击”，类型为“ip protocol no:139”或“ip protocol

23、no:2”（v4.1才有这个问题）Q: 什么是洪水抑制?A: 洪水攻击即DoS攻击，即常说的拒绝服务攻击。ARP防火墙的洪水抑制功能，可以根据你设定的阀值，在数据（TCP SYN/UDP/ICMP）流量达到阀值时，开始进行拦截。用于拒绝服务攻击（DoS攻击）的数据包于普通的数据包没有太多差异，发包速度几乎是唯一的判断标准。某些应用程序，可能会造成很大的流量（如PPLive，Emule，BT等），如果洪水抑制的阀值设置不当，可能会影响你的正常使用。如果你对洪水攻击（DoS攻击）不熟悉，强烈建议不要启用“洪水抑制”功能，以免影响你的正常使用！Q: 洪水抑制有何作用？A: 对于单台机器的意义：避免本

24、机中病毒后，成为DoS攻击源。拦截本机对外的DoS攻击数据，可以降低本机的网络流量，保障网络畅通，发现本机的DoS病毒，避免给自己带来潜在的麻烦。 对于局域网的意义：如果局域网内全部部署了带洪水抑制功能的ARP防火墙，可以保障局域网机器不受DoS攻击影响，把DoS攻击扼杀在源头，保证局域网的网络畅通！Q: 安装v4.1后，玩游戏时（或运行其它程序）怎么感觉有点卡？A: 如果你感觉卡，请检查ARP防火墙有没有报“对外IP洪水”，如果有，那是因为你设置的DoS（洪水攻击）阀值太低，正常的应用程序触发了阀值。如果你对洪水攻击（DoS攻击）不熟悉，强烈建议不要启用“洪水抑制”功能，以免影响你的正常使用

25、！Q: 单机版和网络版哪个好？A: 单机版和网络版的核心代码都是一样的，单机版适合保护单台机器，网络版适合保护整个网络。Q: 保护一个网络，应该选用单机版还是网络版？A: 保护一个网络，可以有两种可选办法， (1) 部署单机版。优点：（目前）免费 缺点：没有统一管理功能，不能及时掌握所有客户机的状态，单机版有过期时间，过期之后需要全部重新安装或升级。 (2) 部署网络版。优点：具有统一管理功能，可及时掌握整个网络的情况，在正式版KEY的有效期内，没有过期限制。 缺点（？）：需要支付少量注册费用 切记：不管是单机版还是网络版，如果你需要保护整个网络，一定要全部部署，才能达到最佳效果。Q: ARP

26、防火墙支持无盘系统吗？A: 因为安装ARP防火墙时，需要安装NDIS驱动程序，在这过程中网络会闪断几秒，所以不支持在无盘客户端直接安装。请通过母盘进行安装。Q: 为何在用做代理共享上网的机器上安装ARP防火墙后，下面的机器就上不了网了？A: 代理共享上网时，机器会把进出的数据进行修改（NAT原理），这跟ARP防火墙的部分功能有冲突，ARP防火墙会认为这是对外攻击。如遇到此情况，请在软件配置里面把“拦截本机对外ARP攻击”、“拦截本机对外伪造IP攻击”取消即可。Q: 安装微软的“ARP补丁”有效吗？A: 在windows 2000系统中，通过arp -s命令来绑定IP和MAC是无效的。微软的“A

27、RP补丁”解决的就是这个问题。这并不代表着，安装“ARP补丁”后，就不会再有ARP问题，请区分清楚。Q: 软件安装后，为何360安全卫士查出恶意软件 “ WebHop恶意软件 - 危险 - C:WINDOWSsystem32driversoreans32.sys”A: 彩影软件用的软件加密程序是Themida，oreans32.sys是Themida的一部分。这是360卫士误报。彩影软件绝不捆绑恶意软件，并已向 360安全卫士提交了相关情况，360安全卫士在最新版本的恶意软件特征库中已经解决这个问题，请广大网友放心使用。Q: 为何有些杀毒软件（如AVG Anti-spyware）报防火墙安装目

28、录下的snetcfg.exe为后门？A: snetcfg.exe是微软公司提供的一个工具，用于安装驱动程序。ARP防火墙的驱动程序就是通过snetcfg.exe来安装的。这个纯属杀毒软件误报，请放心使用。可以把snetcfg.exe程序删除，不影响ARP防火墙正常使用。我们会在下一版本解决这个误报的问题。Q: 什么是广播、非广播、Reques、Reply，它们是干吗用的？A: (1) 广播局域网内所有机器都可以接收到 (2) 非广播只有你本机可以接收到 (3) Request是ARP请求包，请求获取某个IP的MAC地址 (4) Reply是ARP回复包，通告某个IP的MAC地址 假设你的机器的

29、IP是192.168.0.2，当你的机器想与192.168.0.1进行通讯时，它会先查一下本机的ARP缓存表中有没有192.168.0.1的MAC地址，如果有的话，它们就直接可以通讯了。如果没有，你的机器会发一个ARP“广播-Reques”包（这个包局域网内所有机器都可以接收到），问“192.168.0.1的MAC地址是什么呀，快点告诉我”，192.168.0.1收到这个广播包之后，就会给你的机器回复一个ARP“非广播-Reply”包，告诉你“嘿，我的MAC是xx-xx-xx-xx-xx-xx”。这样在你本机获取了192.168.0.1的MAC地址后，你们就可以正常通讯了。上述过程就是ARP协

30、议的工作过程，所以说ARP协议是局域网通讯的基石。一般情况下，广播的都是Request包，非广播的都是Reply包。Q: 4.0beta4版本中新出现的“主动防御”功能有什么作用？A: ARP攻击软件一般会发送两种类型的攻击数据包：(1) 向本机发送虚假的ARP数据包。此种攻击包，ARP防火墙可以100%拦截。(2) 向网关发送虚假的ARP数据包。因为网关机器通常不受我们控制，所以此种攻击包我们无法拦截。“主动防御”的功能就是，“告诉”网关，本机正确的MAC地址应该什么，不要理睬虚假的MAC地址。Q: “主动防御”三种不同的配置分别是什么意思？A: 主动防御支持三种模式(1) 停用。任何情况下

31、都不向网关发送本机正确的MAC地址。(2) 警戒。平时不向网关发送本机正确的MAC地址。当检测到本机正在受到ARP攻击时，开始向网关发送本机正确的MAC地址，以保证网络不会中断。(3) 始终运行。始终向网关发送本机正确的MAC地址。如果攻击者只向网关发送攻击数据，不向本机发送攻击数据，那么如果主动防御处于“警戒”状态时是无法保证网络不会中断的，“始终运行”主动防御功能，可以应对这种情况。主动防御设置为始终运行时，本机会持续向网关发送ARP包，网关收到后会给本机回复ARP包。所以当主动防御设置为始终运行时，“分析接收到的ARP”包里面有大量来自网关的ARP包是正常的。Q: “主动防御”速度设置为多少比较合适？A: 主动防御功能默认配置为：警戒状态，发包速度10 pkts/s。经过彩影软件大量测试，防御