加入收藏
设为首页
联系站长
您现在的位置: 升级快巴 >> 文章中心 >> 网络安全 >> 正文
  [组图]antiarp4.1.1的使用方法         ★★★ 【字体:
antiarp4.1.1的使用方法
作者:本站整理    文章来源:来自网络    点击数:    更新时间:2007-9-26    
软件术语:
外部攻击数据-->是指本机受到外部计算机的攻击数据
IP冲突数据---->是指本机受到外部计算机的攻击数据
对外攻击数据-->是指本机对外发出的攻击数据

1.
双击桌面[AntiARP]图标启动软件,软件界面如下:



软件状态说明:


拦截对外攻击---->拦截本机对外发送的虚假数据包累计。
拦截 IP 冲突---->受到外部攻击的IP冲突欺骗累计次数。
拦截外部攻击---->受到外部其它计算机攻击的累计次数。
发送ARP广播----->本机发送的ARP广播包累计数量。
接收ARP广播----->本机接受的ARP广播包累计数量。
主动防御速度---->受到外部攻击时向网关发送正确MAC的数量。
本机 IP/MAC----->本机的IP以及MAC地址,支持多网卡多IP。
网关 IP/MAC----->网关的IP以及MAC地址。
主动防御状态---->状态分为[待命与防御]。


ARP攻击详细信息说明:


图片说明:
+ [外部攻击数据] 受到外部计算机攻击的次数达到1110次,对于检测是否存在ARP攻击非常有效。
+ [ IP 冲突数据] 受到外部IP冲突攻击的次数,0表示没有发生IP冲突攻击。对于检测是否存在IP冲突攻击非常有效。
+ [外部攻击数据] 本机对外攻击的次数。这个功能对于检测本机是否感染了ARP恶意程序来说是个不错的功能,即使感染了ARP病毒也不会影响网络,因为虚假数据全部被拦截。


如何追踪攻击者:


图片说明:
+ 软件自动识别攻击者MAC地址为:00-11-22-33-44-55,推荐使用 MacScan.exe 扫描IP与MAC地址的对应列表,如果扫描出的IP与攻击者MAC地址相符,说明该IP进行了ARP欺骗,但数据也有可能是伪造的。
+ 如果扫描的IP与MAC列表中找不到攻击者MAC,说明该MAC地址是伪造的。建议管理员在网关设备上分析并查找ARP包的来源。


常见问题:
Q:  更改本机IP地址时,为何软件会报告有攻击行为?
A: 为了降低资源占用率,ARP防火墙每隔5秒读取一次网卡的IP地址设置。更改本机IP地址时,操作系统会向网络广播新的IP和MAC地址,此时如果防火墙还没有从网卡获取到新的IP地址,那么上述ARP广播包会被拦截,且会报告为本机正在向外攻击。上述ARP广播包被拦截后,不会对本机网络正常使用造成任何问题,请用户放心。
Q: ARP防火墙为何也会拦截对外攻击的数据包?能禁止拦截吗?
A: 如果本机感染了ARP病毒,这些病毒会对外发送大量攻击数据,可能会给用户带来一些不必要的麻烦。同时,彩影软件也不赞同攻击行为,所以ARP防火墙默认也会拦截对外攻击。暂时没有计划将拦截对外攻击做为可配置。请各位用户给予理解和支持!
Q:  beta4版本中新出现的“主动防御”功能有什么作用?
A: ARP攻击软件一般会发送两种类型的攻击数据包:
(1) 向本机发送虚假的ARP数据包。此种攻击包,ARP防火墙可以100%拦截。
(2) 向网关发送虚假的ARP数据包。因为网关机器通常不受我们控制,所以此种攻击包我们无法拦截。“主动防御”的功能就是,“告诉”网关,本机正确的MAC地址应该什么,不要理睬虚假的MAC地址。
Q: “主动防御”三种不同的配置分别是什么意思?
A: 主动防御支持三种模式
1, 停用。任何情况下都不向网关发送本机正确的MAC地址。
2. 警戒。平时不向网关发送本机正确的MAC地址。当检测到本机正在受到ARP攻击时,开始向网关发送本机正确的MAC地址,以保证网络不会中断。
3. 始终运行。始终向网关发送本机正确的MAC地址。如果攻击者只向网关发送攻击数据,不向本机发送攻击数据,那么如果主动防御处于“警戒”状态时是无法保证网络不会中断的,“始终运行”主动防御功能,可以应对这种情况。     
Q: “主动防御”速度设置为多少比较合适?
A: 主动防御功能默认配置为:警戒状态,发包速度10 pkts/s。经过彩影软件大量测试,防御速度为10pkts/s时可以应对市面上大多数ARP攻击软件。向网关发送正确MAC时,每次会发送两种类型的数据包,每个数据包大小是42字节(Bytes),所以当速度为10时,网络流量是: 10*2*42=840Bytes,即不到1KBytes/s。同理可计算,防御速度为100时,网络流量<10KBytes/s。防御速度支持自定义,最小为1,最大为100,用户可以根据自己的网络情况自行调准。
Q: 运行ARP防火墙之后,为何用"arp -a"命令还能看到其它主机?
A: ARP防火墙不是拦截所有ARP包,只是拦截虚假的ARP包。所以它并不能保证你用"arp -a"命令看不到其它主机,只能保证你看的数据都是正确的。反过来说,如果你用"arp -a"命令看不到任何主机,那么你的机器就“断网”了。
Q: 为何ARP防火墙没有检测到攻击,但我仍然会掉线(断网)?
A: 原因有几种:
1.可能是攻击者只向网关发送了ARP攻击数据包,所以ARP防火墙没有检测到攻击。解决办法:建议用户把“主动防御”功能设置为“始终运行”,并且把防御速度设置到最大:100。
2.ARP防火墙在启动之前,机器就已经处于攻击之下,ARP防火墙自动取到的网关MAC地址是假的。解决办法:咨询网管人员,获取网关的正确MAC,然后在ARP防火墙中手动设置网关的IP/MAC。
3. 如果上述两个办法都不可行,那么估计掉线原因就跟ARP攻击没有关系了,毕竟造成掉线的原因有很多,如:硬件问题、线路问题、应用程序(如游戏)本身的问题等等。

文章录入:admin    责任编辑:admin 
  • 上一篇文章:

  • 下一篇文章:

  •     
    发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    最新热点 最新推荐 相关文章
    防垃圾邮件注意事项
    使用网上银行要注意哪些
    用安全策略封闭危险端口
    常见木马入侵方法发防范
    查找ARP攻击者元凶
    实战木马病毒查找与清除
    穿透ADSL路由功能入侵内网系
    服务器入侵前兆检测方法
    解析Windows两大进程
    "拒绝远程连接"故障解决
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
                         
    闽ICP备07050353号 站长:Ahao