在线客服
 
客服代表
客服代表 QQ:807001990
电话:010-68400269
销售代表/商务合作
销售代表、商务合作 QQ:351026161
电话:010-68400236
技术支持
MSN: antiarp@gmail.com
Email:antiarp@gmail.com
工作时间
周一至周五
上午09:00-12:00
下午01:30-05:00
通讯地址
北京市海淀区北三环西路甲30号双天大厦3A室
  
 单机版 v5.0 使用指南
 

-]] 文档信息

创建时间:2007-05-10
最后更新:2008-02-01
适用范围:v5.0

-]] 快速索引

一、参数配置
1.1 参数配置>>常规
1.2 参数配置>>网络
1.3 参数配置>>安全
1.4 参数配置>>路由
1.5 参数配置>>防御
1.6 参数配置>>攻击拦截
1.7 参数配置>>报警
1.8 参数配置>>其它

二、功能介绍

-]] 正文部分

一、参数配置
1.1 参数配置>>常规

    〖启动后自动隐藏(需先设置热键)〗
    请先设置热键,不然隐藏后主界面将无法呼出。
   
    〖ARP缓存表被篡改时弹出气泡提示〗
    ARP防火墙会自动监测本机ARP缓存表,当发现网关MAC地址被篡改时,可弹出气泡提示。禁用弹出气泡提示,不影响防火墙继续监测和修复本机ARP缓存。
   
    〖隐藏没有数据的页面〗
    不同类型的数据在软件里面分栏显示。隐藏没有数据的页面可使程序界面看起来更简洁。

    〖IP显示为便于排序的格式〗
    选中后,IP显示为类似“192.168.000.001”,否则显示为“192.168.0.1”

    〖拦截到外部攻击时报警〗
    具体采用哪种报警方式取决你的设置。

    〖自动检测新版本〗
    当有新版本可用时,软件会弹出提示窗口,询问用户是否用浏览器打开下载页面。软件无自动下载和自动升级的功能。

1.2 参数配置>>网络

    “本机能够获取网关的正确MAC地址”和“网关能够获取本机的正确MAC地址”是保障网络畅通的两个必要条件。ARP防火墙采用独特的算法,可以保证主机即使在受到猛烈ARP攻击的情况下,也可以准确自动获取网关的正确MAC地址。

1.3 参数配置>>安全

    密码保护可用于:程序卸载、隐藏界面呼出、程序退出、参数设置、停止保护。

    〖禁止修改ARP缓存表〗
    保护ARP缓存表不被恶意软件或病毒程序篡改。使用ARP防火墙后,没有必要在主机上再使用IP/MAC绑定的软件。

    〖禁止修改系统时间〗
    保护系统时间不被恶意软件或病毒程序篡改,避免因时间错误导致安全软件(如杀毒软件、防火墙等)失效。

    〖禁止非法终止防火墙进程〗
    保护ARP防火墙进程不被恶意软件或病毒程序非法终止。当启用此功能后,任何进程试图获取本进程的操作权限时会被拦截和记录。当恶意软件或者病毒程序试图终止ARP防火墙进程时,必定需要获取ARP防火墙进程的操作权限,但是,不是所有试图获取ARP防火墙进程操作权限的行为都是恶意的。例如,在正常情况下,杀毒软件会尝试获取所有进程的操作权限。判断这些行为是否为恶意的,需要用户具备一定的专业知识。为了不给用户造成困扰,默认情况下ARP防火墙在拦截后不显示报警信息。

    〖禁止修改IE首页〗
    保护IE首页不被恶意软件或病毒程序篡改。如果用户接受程序以“合作版”方式运行,此项功能默认启用,且不可取消。

1.4 参数配置>>路由

    路由器的作用主要是转发数据包。实施ARP欺骗后,攻击者就可以充当路由器的角色,能够获取所有网络数据,从而有机会实现对数据的窃取、篡改等。默认情况下,ARP防火墙把网关认为是可信任的路由,其它主机/设备是不可信任的路由,因为在正常情况下,除了网关外,其它主机/设备都不会充当路由器的角色去转发数据包。

    如果局域网内有多个网关/路由器,请把它们都加入到可信路由列表中。

    当出现来自非可信路由的IP数据包时,有三种可能,
    1. ARP防火墙误报(几率非常小)。
    2. 你的局域网存在多个网关/路由器,你没有把它们都加入到可信路由列表中。
    3. 局域网内存在ARP欺骗,攻击者正在充当路由器的角色,正在转发网络上的数据包。

    “拦截来自非可信路由的IP包”,可以保障通讯安全,但是可能会造成网络不稳定。如果是个人用户,不建议启用。如果是服务器用户,建议启用,以避免密码等机密数据被攻击者窃取。另外,如果频繁出现来自非可信路由的数据包,建议把主动防御设置为始终启用,并把防御速度设置为最大。


1.5 参数配置>>防御
1.5.1 主动防御

    ARP攻击软件一般会发送两种类型的攻击数据包:
    (1) 向本机发送虚假的ARP数据包。此种攻击包,ARP防火墙可以100%拦截。
    (2) 向网关发送虚假的ARP数据包。因为网关机器通常不受我们控制,所以此种攻击包我们无法拦截。“主动防御”的功能就是,“告诉”网关,本机正确的MAC地址应该什么,不要理睬虚假的MAC地址。

    主动防御支持三种模式:
    (1) 停用。任何情况下都不向网关发送本机正确的MAC地址。
    (2) 警戒。平时不向网关发送本机正确的MAC地址,状态为“警戒-待命”。当检测到本机正在受到ARP攻击时,状态切换为“警戒-启动防御”,开始向网关发送本机正确的MAC地址,以保证网络不会中断。持续10秒没有检测到攻击时,状态从“警戒-启动防御”切换回“警戒-待命”,停止发包。
    (3) 始终启用。始终向网关发送本机正确的MAC地址。如果攻击者只向网关发送攻击数据,不向本机发送攻击数据,那么如果主动防御处于“警戒”状态时是无法保证网络不会中断的,“始终启用”主动防御功能,可以应对这种情况。强烈建议校园网用户不要把主动防御设置为始终启用,以避免被网络管理中心误判为中毒机器,如果确实需要,建议把防御值设置为1~2。

    主动防御功能默认配置为:警戒状态,发包速度8 pkts/s。经过彩影软件大量测试,默认防御速度可以应对市面上大多数ARP攻击软件。向网关发送正确MAC时,每次会发送两种类型的数据包,每个数据包大小是42字节(Bytes),所以当速度为10时,网络流量是: 10*2*42=840Bytes,即不到1KBytes/s。同理可计算,防御速度为100时,网络流量<10KBytes/s。防御速度支持自定义,用户可以根据自己的网络情况自行调准,强烈建议校园网用户不要设置过高的防御值(超过5),以避免被网络管理中心误判为中毒机器。

    智能防御功能可检测到只有网关受到攻击的情况。如检测到异常,智能防御功能会把防御状态从“警戒-待命”模式切换到“警戒-启动防御”模式。网络恢复正常后,防御状态切换回“警戒-待命”。

    智能防御敏感度值越小,敏感程度越高,默认为3。敏感程度越高,保障网络畅通不中断的成功率就越大,但误判的几率也会相应增加。如果你的网络出现闪断的情况比较多或者玩网游时老是被攻击导致闪断,建议你可以尝试把敏感值设置为1或者2。如果仍然不能解决闪断问题,建议你把主动防御设置为始终启用。

1.5.2 追踪攻击者IP
   
    〖被动收集IP/MAC对应表〗
    此功能默认启用,且不可撤销。ARP防火墙通过分析接收到的所有ARP数据包,从而在不发包的情况收集局域网内的IP/MAC对应表,为追踪攻击者做好准备。

    〖主动收集:手动开始〗
    点击菜单栏“扫描”按钮后,开始主动发包探测局域网内的IP/MAC对应表。

    〖主动收集:自动开始〗
    自动开始主动发包探测局域网内的IP/MAC对应表,不需用户干预。扫一个IP间隔3秒的意思是:每隔3秒发一个包。扫一圈间隔60分钟的意思是:对局域网的扫描完成之后,休息60分钟,接着才开始再继续扫描一遍。强烈建议校园网用户不要设置此选项,以避免被网络管理中心误判为中毒机器。一般情况下,"被动收集"和"主动收集-手动开始"已经足以追查到攻击者IP,如果MAC不是伪造的话。


1.6 参数配置>>攻击拦截
1.6.1 ARP抑制

    〖抑制发送ARP〗
    当本机发送ARP数据包的速度超过阀值时,ARP防火墙会启动拦截程序。一般情况下,本机发送ARP的速度不应该超过10个/秒。

    〖一并拦截发送的ARP Reply〗
    如果拦截本机发送的ARP Reply,其它机器将无法获取你的MAC地址,将无法主动与你的机器取得联系,但你的机器可主动与其它机器联系。

    〖安全模式〗
    只响应来自网关的ARP Request,可降低受到ARP攻击的概率,但不是杜绝。

1.6.2 抑制对外DoS(拒绝服务)攻击

    DoS即拒绝服务攻击,常见的有TCP SYN Flood、ICMP Flood、UDP Flood等。DoS数据包与普通数据包无异,唯一判断的标准是它发包的速度。注意:请了解清楚DoS攻击的原理后,谨慎使用此功能。如果你需要使用迅雷、PPLive、QQLive等网络程序,强烈建议不要启用“抑制发送UDP”的功能,以免影响你的正常使用。

1.6.3 拦截攻击

    〖拦截外部ARP攻击〗
    此功能默认启用且不可撤销,因为撤销之后本机将无法受到保护,安装运行ARP防火墙也就没有意义了。

    〖拦截外部IP冲突攻击〗
    此功能默认启用且不可撤销

    〖拦截本机对外ARP攻击〗
    如果本机中了ARP病毒,在病毒对局域网进行攻击时,ARP防火墙可以把攻击数据拦截,把攻击扼杀在源头。注意:做代理服务器、NAT、路由器的主机不可启用此功能,不然将会造成网络中断

    〖拦截本机对外伪造IP攻击〗
    如果本机中了DoS病毒(带DoS攻击功能的病毒),在病毒伪装成其它IP,对局域网或其它网络进行DoS攻击时,ARP防火墙可以把攻击数据拦截,把攻击扼杀在源头。注意:做代理服务器、NAT、路由器的主机不可启用此功能,不然将会造成网络中断


1.7 参数配置>>报警

    单机个人版仅支持一种报警方式:播放声音。单机服务器版支持全部报警方式。

    “播放声音”目前仅支持播放wav格式的声音文件。

    ARP防火墙支持把报警信息做为参数传递给指定的外部程序,在您指定的程序中对报警信息进行相应处理即可。目前只支持exe可执行文件。如果您希望运行脚本,设定如下即可:cscript.exe xx.vbs 或 perl.exe xx.pl

    ARP防火墙支持把报警信息做为参数传递给指定的URL。URL的格式为:http://domain/xx.xx?aa=

    ARP防火墙支持把报警信息发送到指定的信箱,如果有多个收件人,请用逗号分隔。


1.8 参数配置>>其它

    “以系统服务方式自动运行”仅在单机服务器版中支持。

    只有在得到用户明确许可之后,软件才会切换到“合作版”模式,才会修改浏览器首页指向百度(或者彩影软件的其他合作伙伴),如用户不能接受浏览器首页被修改,可选择注册软件或者放弃使用。

    “ARP流量分析”功能可分析接收到的所有ARP数据包,分析ARP数据包主要由哪些机器产生,以掌握网络情况,为找出局域网内潜在的攻击者或中毒机器提供帮助。注意:接收到大量ARP数据包,并不意味着本机存在问题,只代表本局域网内可能存在攻击者或中毒机器。

    “检测局域网内的网管软件”可能会存在误报,结果仅供参考。
[ 返回上一页 ] [ 关闭窗口 ]