ARP防火墻單機版FAQ for v 4.1.12007-06-09 09:17防火墻軟件支持哪些平臺?
答:目前支持Windows 2000/xp/2003,從4.1beta2開始支持vista(x32),不支持windows 98/me/vista(x64)。
問:ARP防火墻顯示不同類型的數據是什麽意思?
答:目前ARP防火墻顯示的數據有幾種類型。
(1)外部ARP攻擊——顯示的數據是別人對妳的ARP攻擊(別人攻擊妳)。
(2)外部IP沖突——顯示的數據是別人對妳的IP沖突攻擊(別人攻擊妳)。
(3)外部ARP攻擊——顯示的數據是妳對別人的ARP攻擊(妳攻擊別人)。
(4)外部IP攻擊——顯示的數據是妳對別人的假源IP攻擊,通常是TCP SYN Flood。
(5)外部IP flood——當妳的電腦發送數據的速度超過設定的閾值時,防火墻會啟動攔截,攔截的數據會顯示在這裏。
(6)安全模式——在安全模式下,只響應來自網關的ARP請求,攔截其他機器發送的ARP請求,這裏顯示攔截的數據。
(7)抑制發送ARP——當妳的機器發送ARP的速度超過設定的閾值時,防火墻會啟動攔截,攔截的數據會顯示在這裏。
(8)分析收到的ARP-顯示本機收到的所有ARP數據包,以分析網絡情況。這裏顯示的數據僅供有經驗的網管分析網絡中是否存在潛在攻擊者或中毒機器,與ARP攻擊的存在沒有必然聯系。如果妳不是網絡管理員,現在網絡正常,完全可以忽略這裏顯示的數據。
問:如何判斷自己是否感染了ARP(病毒)?
答:只有ARP防火墻顯示“外部ARP攻擊”,才能說明妳感染了ARP病毒(或者妳正在使用攻擊軟件)。
問:在“接收到的ARP的分析”中,壹些機器發送了非常大量的ARP數據。我該怎麽辦?
答:如果妳是網絡管理員,在發送大量數據的機器上安裝ARP防火墻。如果妳不是網站管理員,我建議妳要麽向網站管理員報告這壹情況,要麽別擔心:D
問:ARP防火墻提示“外部ARP攻擊”已被攔截。我該怎麽辦?
答:如果妳的網絡受到影響,建議妳把主動防禦設置為壹直運行。如果情況沒有改善,請逐漸提高防禦速度。您可以向網絡管理員報告這壹情況,要求他消除攻擊源。
問:為什麽“收到ARP的分析”中有很多來自網關的“非廣播回復”數據包?
答:在主動防禦發送給網關ARP報文後,網關會回復ARP回復報文。在兩種情況下,防火墻會向網關發送壹個主動防禦數據包,
(1)當主動防禦設置為“始終運行”時
(2)主動防禦設置為“警報”,當檢測到攻擊時,切換到“警報-啟動防禦”
問:ADSL連接後為什麽會舉報“WINDOWS\System32\svchost.exe”攻擊外界?
非常抱歉,這是壹場虛驚。我們將在下壹個版本中解決這個問題。這種虛警的形式是“外來ip攻擊”,類型是“IP協議號:139”或者“IP協議號:2”(只有V4.1有這個問題)。
問:什麽是防洪?
答:flood攻擊是壹種DoS攻擊,通常稱為拒絕服務攻擊。ARP防火墻的泛洪抑制功能可以根據您設置的閾值,在數據(TCP SYN/UDP/ICMP)達到閾值時進行攔截。用於拒絕服務攻擊(DoS攻擊)的數據包和普通數據包沒有太大區別,包發送速度幾乎是唯壹標準。有些應用可能會造成很大的流量(比如PPLive、Emule、BT等。).如果抑洪閾值設置不當,可能會影響妳的正常使用。如果不熟悉洪水攻擊(DoS攻擊),強烈建議不要開啟“洪水壓制”功能,以免影響您的正常使用!
問:防洪的作用是什麽?
答:對於單機的意義:避免本機病毒,成為DoS攻擊源。攔截本機的外部DoS攻擊數據,可以減少本機的網絡流量,保證網絡暢通,發現本機的DoS病毒,避免給自己帶來潛在的麻煩。
對局域網的意義:如果在局域網內部署所有帶洪水抑制功能的ARP防火墻,可以保護局域網機器免受DoS攻擊,從源頭上扼殺DoS攻擊,保證局域網網絡暢通!
問:安裝v4.1後,玩遊戲(或運行其他程序)怎麽感覺有點卡?
答:如果妳覺得卡住了,請檢查ARP防火墻是否報告了“外部IP泛濫”。如果有,是因為妳設置的DoS (flood attack)閾值太低,正常應用已經觸發了閾值。如果不熟悉洪水攻擊(DoS攻擊),強烈建議不要開啟“洪水壓制”功能,以免影響您的正常使用!
問:單機版和網絡版哪個好?
答:單機版和網絡版的核心代碼是壹樣的。單機版適合保護單機,網絡版適合保護全網。
問:保護壹個網絡,應該選擇單機版還是網絡版?
答:保護網絡有兩種方法。
(1)部署單機版。優點:(目前)免費缺點:沒有統壹的管理功能,無法及時掌握所有客戶端的狀態。單機版有過期時間,過期後都需要重裝或升級。
(2)部署網絡版。優點:具有統壹管理功能,能及時掌握全網情況。在正式版密鑰的有效期內沒有過期限制。缺點(?):需要少量註冊費。
記住:不管是單機版還是網絡版,如果需要保護全網,壹定要全部部署,才能達到最好的效果。
問:ARP防火墻支持無盤系統嗎?
答:由於安裝ARP防火墻時需要安裝NDIS驅動,在此過程中網絡會閃幾秒鐘,所以不支持直接安裝在無盤客戶端上。請通過母盤安裝。
問:為什麽作為代理享受上網的機器安裝了ARP防火墻後,下面的機器就不能上網了?
答:當代理* * *享受上網時,機器會修改進出數據(NAT原理),這與ARP防火墻的部分功能沖突,ARP防火墻會認為是外部攻擊。如果遇到這種情況,請在軟件配置中取消“攔截本機ARP攻擊”和“攔截本機偽造IP攻擊”。
問:安裝微軟的“ARP補丁”有效嗎?
答:在windows 2000系統中,通過arp -s命令綁定IP和MAC是無效的。微軟的“ARP補丁”解決了這個問題。這並不意味著安裝了“ARP補丁”後,就不會再出現ARP問題了。請區分清楚。
問:為什麽360安全衛士在安裝了惡意軟件“WebHop Malware-Danger-C:\ Windows \ System32 \ Drivers \ ore ans 32 . sys”後,還會查出該軟件?
答:Themida是彩影軟件的軟件加密程序,oreans32.sys是Themida的壹部分。這是360衛士的壹場虛驚。彩影軟件從不綁定惡意軟件,已向360安全衛士提交相關資料。360安全衛士已經在最新版本的惡意軟件特征庫中解決了這個問題,請放心使用。
問:為什麽有些殺毒軟件(如AVG反間諜軟件)會在防火墻安裝目錄中報出“snetcfg.exe”作為後門?
答:snetcfg.exe是微軟提供的安裝驅動程序的工具。ARP防火墻的驅動是通過snetcfg.exe安裝的。這是殺毒軟件誤報,請放心使用。Snetcfg.exe程序可以被刪除而不影響ARP防火墻的正常使用。我們將在下壹個版本中解決誤報問題。
問:什麽是廣播、非廣播、請求和回復,它們有什麽用途?
答:(1)廣播——局域網內所有機器都可以接收。
(2)非廣播-只有您的本地機器可以接收它。
(3)Request-是壹個ARP請求包,請求獲得壹個IP的MAC地址。
(4)reply-是壹個ARP回復數據包,它宣布壹個IP的MAC地址。
假設妳機器的IP是192.168.0.2。當妳的機器要和192.168.0.1通信時,它會先檢查自己的ARP緩存表中是否有192.5438+08。如果沒有,妳的機器會發送壹個ARP“broadcast-requests”包(局域網內的所有機器都可以收到)並詢問“192.168.0.1的MAC地址是什麽?快告訴我”,192.438+008。這樣,妳得到192.168.0.1的MAC地址後,就可以正常通信了。以上過程就是ARP協議的工作過程,所以ARP協議是局域網通信的基石。壹般來說,所有廣播包都是請求包,所有非廣播包都是應答包。
問:4.0 Beta 4版本新增的“主動防禦”功能有什麽作用?
答:ARP攻擊軟件壹般會發送兩種類型的攻擊包:
(1)向該機器發送壹個錯誤的ARP數據包。這種攻擊包可以被ARP防火墻100%攔截。
(2)向網關發送虛假的ARP數據包。因為網關機器通常不在我們的控制範圍內,所以我們無法攔截這樣的攻擊包。“主動防禦”的作用是“告訴”網關這臺機器正確的MAC地址應該是什麽,而忽略虛假的MAC地址。
問:“主動防禦”的三種不同配置是什麽意思?
答:主動防禦支持三種模式。
(1)已停用。在任何情況下,該機器的正確MAC地址都不會被發送到網關。
(2)警惕。通常不會將本機的正確MAC地址發送給網關。當檢測到本機正在被ARP攻擊時,就開始向網關發送本機的正確MAC地址,保證網絡不會中斷。
(3)壹直跑。始終向網關發送該機器的正確MAC地址。如果攻擊者只向網關發送攻擊數據,而不向本地計算機發送,那麽如果主動防禦處於“警戒”狀態,就不能保證網絡不會中斷。“始終運行”主動防禦功能可以應對這種情況。當主動防禦設置為始終運行時,機會會不斷向網關發送ARP包,網關收到後會回復ARP包。因此,當主動防禦設置為始終運行時,“分析收到的ARP”包中有大量來自網關的ARP包是正常的。
問:“主動防禦”的合適速度設置是多少?
答:主動防禦功能默認配置為:警戒狀態,收縮速度為10 pkts/s..經過彩影軟件的大量測試,10pkts/s的防禦速度可以應對市面上大部分ARP攻擊軟件。當向網關發送正確的MAC時,壹次會發送兩種類型的數據包,每種數據包大小為42字節,所以當速度為10時,網絡流量為:10 * 2 * 42 = 840字節,即小於1千字節/秒,同樣可以計算出當防禦速度為100時,網絡流量
問:為什麽ARP防火墻檢測不到攻擊,但我仍然無法連接?
答:有幾個原因:
(1)可能是攻擊者只向網關發送了ARP攻擊包,所以ARP防火墻沒有檢測到攻擊。解決方法:建議用戶將“主動防禦”功能設置為“壹直運行”,根據網絡情況逐步提高防禦速度。比如速度是10,網絡還是斷斷續續的,那就調整到20。20不行就調成30。
(2)在ARP防火墻啟動之前,機器已經受到攻擊,ARP防火墻自動獲取的網關MAC地址是假的。解決方法:咨詢網絡管理員獲取網關的正確MAC,然後在ARP防火墻中手動設置網關的IP/MAC。
(3)如果以上兩種方法都不可行,那麽估計掉線原因與ARP攻擊無關。畢竟掉線的原因有很多,比如硬件問題,線路問題,應用(比如遊戲)本身的問題等等。
問:主動防禦已經設置為“壹直跑”。為什麽斷線了?
答:原因可能是,
(1)斷網的原因有很多,ARP問題只是常見的壹種,所以有可能斷網不是ARP問題造成的。
(2)如果攻擊者攻擊網關的速度超過妳的防禦速度,斷網是必然的,此時網絡可能是斷斷續續的。根治的辦法是消除攻擊源。如果不能消滅攻擊源,只能把防禦速度調到最大。如果防禦速度設置到最大,網絡時斷時續,那麽在這種極端情況下,在這臺機器上安裝任何軟件都無法再幫到妳。
問:我安裝的ARP防火墻必須被跟蹤才能上網。當跟蹤停止時,我不能立即登上它。為什麽?
答:入口被攻擊了。網關獲取的妳電腦的MAC是錯誤的。點擊“Trace”後,ARP防火墻會掃描外包合同的MAC。在跟蹤過程中,網關可以重新獲得您計算機的正確MAC地址,因此網絡可以連接壹段時間。跟蹤停止後,網關再次被攻擊,拿錯了妳的MAC,妳的網絡再次斷網。在這種情況下,只需將主動防禦設置為“始終啟用”,主動防禦就能持續通知網關妳的正確MAC。
問:修改IP就可以上網,不改就上不了網。為什麽?
答:入口被攻擊了。網關獲取的妳電腦的MAC是錯誤的。在這種情況下,只需將主動防禦設置為“始終啟用”,主動防禦就能持續通知網關妳的正確MAC。
問:我已經在這臺機器上綁定了網關的IP/MAC(假設網關的IP/MAC是正確的),為什麽不能上網?
答:保證網絡暢通有兩個條件。
(1)網關MAC在本地計算機上是正確的。
(2)在網關上,您的MAC是正確的。
雖然妳在這臺機器上綁定了網關的IP/MAC,但是妳不能保證網關獲取的妳的機器的MAC地址是正確的。在這種情況下,只需將主動防禦設置為始終運行即可。主動防禦的作用就是通知網關妳的正確MAC地址。
問:上網速度受限怎麽辦?
答:限制網速的方法有很多,ARP欺騙是壹種比較流行的方式。如果速度限制是通過ARP欺騙達到的,ARP防火墻的默認配置可以幫妳解除限制。如果效果不大,建議將主動防禦設置為“壹直跑”。如果這還不夠,那麽可以得出結論,ARP欺騙沒有達到限速。在這種情況下,很抱歉ARP防火墻幫不了妳(也沒有軟件能幫到妳,因為原則上繞不過去)。
問:安全模式的作用是什麽?啟用後會有不良後果嗎?
答:安全模式的作用是只響應網關的ARP請求,即除了網關,其他機器無法通過正常渠道獲取妳的MAC地址。註意:這並不意味著其他機器無法獲得妳的MAC,只是變得更加困難。所以安全模式的效果只能降低被攻擊的概率,而不能完全消除。安全模式的優點:讓攻擊者更難獲取妳的MAC地址,降低被攻擊的幾率。安全模式的缺點:局域網內的其他機器無法主動聯系妳。正常情況下,啟用安全模式不會影響電腦的正常使用。
問:如果攻擊者的MAC是偽造的,有沒有辦法查出攻擊者是誰?
答:如果妳的交換機有網管功能,妳就能找到。假設攻擊者偽造的MAC地址是AA-AA-AA-AA-AA-AA-AA,方法如下:
(1)登錄核心交換機,通過以下命令查詢假MAC的來源。
#sh mac地址表動態地址aaaa.aaaa.aaaa
命令輸出類似於以下內容:
Mac地址表
-
Vlan Mac地址類型端口
- - - -
7 0010.db58.3480動態Po1
7 aaaa.aaaa.aaaa動態gi 1/0/11 & lt;& lt& lt& lt& lt
(2)通過以下命令查詢連接到Gi1/0/11的主機是否是網絡設備。
#顯示cdp鄰居
如果Gi1/0/11連接到交換機,請登錄到該交換機並重復上述操作。如果您連接到壹臺主機,那麽這臺主機就是攻擊者。
問:為什麽相同的數據顯示兩次?比如:
答:因為界面寬度有限,所以只顯示重要信息。看起來兩行數據是壹樣的,實際上有些是不壹樣的,所以會分開顯示。註:從4.1beta1開始,這個問題已經解決。
問:為什麽防火墻總是提示“檢測到arp緩存表中網關的mac地址已被修改並修復?它可能感染了病毒,或者在arp防火墻啟動之前已經受到攻擊。?
答:這個提示會在兩種情況下出現。
(1)本機有病毒或其他惡意軟件,篡改了本機ARP緩存表中網關的MAC地址。
(2)防火墻獲取網關MAC的方式設置為自動,在防火墻啟動前就已經受到攻擊。
(3)當網卡狀態發生變化時(如插拔網線、通過DHCP獲取IP地址、禁用並重新啟用網卡),程序可能會產生誤報。從v4.1beta1開始,解決了虛警問題。
註意:ARP防火墻可以檢測到本機ARP緩存中網關MAC被篡改並修復,但無法防止病毒或惡意軟件再次篡改。在這種情況下,請檢查病毒。
問:單機版ARP防火墻免費嗎?為什麽會有過期時間?
答:目前是免費試用。我們將不斷更新和改進ARP防火墻。為了讓用戶及時下載、安裝和使用最新版本,在當前版本中設置了到期時間。屆時請下載新版本。
問:病毒修改系統時間後,ARP防火墻無法正常使用。我該怎麽辦?
答:(1)正在開發的網絡版v3.1將取消客戶端的時間限制。
(2)正在開發的單機版v4.2將引入“不修改系統時間”的功能,該功能將阻止病毒修改系統時間,並定位試圖修改系統時間的病毒進程。
問:軟件沒有過期,但為什麽軟件會提示“版本過期”?
因為妳在軟件運行之前或運行期間改變了系統的時間。隨意更改系統時間可能會導致軟件運行異常。遇到這種情況,建議按如下方式解決:
(1)卸載防火墻軟件
(2)將系統時間設置為正確的時間。
(3)重新安裝防火墻軟件
如果由於某種原因,確實需要臨時修改系統時間來做壹些測試,那麽建議
(1)請勿在防火墻軟件運行時修改系統時間。
(2)運行防火墻軟件前,確保系統時間正確。
問:為什麽攻擊者IP顯示為Unkonw?
答:當攻擊者的IP顯示為未知時,有幾種可能性:
(1)“主動收集IP/MAC”功能未啟用。解決方法:點擊菜單欄中的“跟蹤”按鈕。
(2)如果“追蹤”完成或者處於“主動收集-自動啟動”狀態,仍然顯示為unkown,那麽攻擊者的MAC地址可能是偽造的,無法追蹤到對應的IP地址。
(3)v 4 . 0 . 1有壹個BUG。在某些情況下,即使MAC地址存在,攻擊者的IP地址也可能無法追蹤。V4.0.2已經解決了這個問題。
問:忘記了ARP防火墻的保護密碼。我該怎麽辦?
答:有幾種方法。
(1)進入軟件配置界面,清除之前設置的密碼。
(2)如果無法進入軟件配置界面,刪除ARP防火墻安裝目錄下的aas.ini文件,然後重新運行軟件。
問:取消勾選“攔截本地外部攻擊”後,為什麽不顯示本地IP/MAC?(v4.0.1有這個問題)
答:這是程序中的壹個BUG。這個BUG不影響防火墻的防禦效果,但是本地IP/MAC無法顯示。請隨意使用。V4.0.2已經解決了這個問題。
問:在安裝新版本之前,我需要卸載舊版本嗎?新版《本能》封面安裝是舊版嗎?
答:安裝新版本之前需要先卸載舊版本,不能把安裝it蓋住。
問:如何卸載軟件?
a:您可以選擇以下方法之壹。
(1)進入"控制面板>;添加或刪除程序”
(2)運行安裝程序,會提示三個選項:修改/修復/移除,選擇移除卸載。
(3) 4.0.2在開始菜單欄中添加了壹個新的“卸載”菜單。
問:如何手動卸載ARP防火墻?
答:按照以下方法,
(1)關閉ARP防火墻。
(2)打開網卡屬性界面,定位兩個帶有AntiARP字樣的驅動,點擊卸載。
(3)打開註冊表,搜索“AntiARP”,刪除所有找到的條目。
(4)刪除文件
問:軟件設置已經設置為自動啟動,但為什麽不行?
答:檢查註冊表HKLM \軟件\微軟\ Windows \當前版本\運行中的AntiARPStandalone鍵指向的路徑是否正確。如果不正確,刪除AntiARPStandalone,當防火墻再次運行時,將自動寫入正確的鍵值。(或者手動輸入正確的鍵值)
Note 1: 4.0.2已經解決了這個問題,應該不會再發生了。
註2: Vista系統不支持“自動啟動”功能。
問:任務管理器裏有進程,但是沒有界面顯示怎麽辦?
答:目前已經有幾個用戶反饋了這個問題,所以暫時無法確認原因。在這種情況下,請嘗試以下方法:
1.進入程序安裝目錄,打開Config.ini文件,並更改以下條目,如下所示:
自動運行=0
AutoMin=0
自動保護=0
2.重啟機器
問:為什麽ARP防火墻顯示亂碼?
因為妳的機器沒有正確設置語言。可以參考以下方法解決(感謝lzawindows):
(1)進入控制面板>“區域和語言選項”
(2)確保已經選擇並安裝了東亞語言的安裝文件頁面。
(3)在“區域選項”頁面的“標準和格式”框中選擇“中文(中國)”,並在“位置”中選擇“中國”。
(4)在高級頁面的非unicode程序語言中選擇“中文(PRC)”,然後重新啟動計算機。
問:為什麽在軟件安裝過程中網絡會斷開?
答:4.0版,單機版ARP防火墻,依靠驅動攔截ARP攻擊數據,軟件安裝時需要安裝驅動。這時候網絡會中斷幾秒,這是正常的。請隨意使用。
問:為什麽軟件在更改本地IP地址時會報告攻擊?
答:為了降低資源占用率,ARP防火墻每5秒讀取壹次網卡的IP地址設置。更改本地IP地址時,操作系統會向網絡廣播新的IP和MAC地址。此時,如果防火墻還沒有從網卡獲取新的IP地址,就會攔截上述ARP廣播包,並報告本地計算機正在向外攻擊。上述ARP廣播包被攔截後,不會對本地網絡的正常使用造成任何問題。請放心。註:從4.1beta1開始,這個問題已經解決。
問:防火墻支持普通用戶運行嗎?
答:從v4.1beta1開始支持,以前版本不支持。
問:有綠色版(不安裝)嗎?
答:ARP防火墻需要配合驅動攔截惡意數據,所以需要通過安裝程序安裝驅動,沒有綠色版。
問:為什麽ARP防火墻也會攔截外部攻擊的數據包?能不能禁止攔截?
答:如果本機感染了ARP病毒,這些病毒會向外界發送大量攻擊數據,可能會給用戶帶來壹些不必要的麻煩,所以ARP防火墻會默認攔截外來攻擊。從v4.0.1開始,攔截外部攻擊作為壹種可配置模式受到支持。
問:運行ARP防火墻後,為什麽我可以用“arp -a”命令看到其他主機?
答:ARP防火墻並不攔截所有的ARP數據包,只是攔截虛假的ARP數據包。所以不能保證用“arp -a”命令就看不到其他主機,但是可以保證網關的MAC是正確的。反之,如果妳用“arp -a”命令看不到任何壹臺主機,那麽妳的機器就是“斷開連接”(或者與局域網內的所有機器都沒有通信)。