ARP防火墙使用方法

ARP防火墙使用方法 你的网络是否经常掉线，是否经常发生IP冲突？ 你是否担心通讯数据受到监控（如MSN、QQ、EMAIL）？ 你的网络速度是否受到网管软件限制（如聚生网管、P2P终结者）？ 你是否深受各种ARP攻击软件之苦（如网络执法官、网络剪刀手、局域网终结者）？ 以上各种问题的根源都是ARP欺骗（ARP攻击）。在没有ARP欺骗之前，数据流向是这样的：网关<->本机。ARP欺骗之后，数据流向是这样的：网关<->攻击者（―网管‖）<->本机，本机与网关之间的所有通讯数据都将流经攻击者（―网管‖），所以―任人宰割‖就在所难免了。 ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、 保证通讯数据不受第三者控制，从而完美的解决上述所有问题。 [编辑本段] ARP 1. 拦截ARP攻击。 (A) 在系统内核层拦截外部虚假ARP数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全； (B) 在系统内核层拦截本机对外的ARP攻击数据包，以减少感染恶意程序后对外攻击 给用户带来的麻烦； 2. 拦截IP冲突。在系统内核层拦截IP冲突数据包，保障系统不受IP冲突攻击的影响； 3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包，定位恶意发动DoS攻击的程序，从而保证网络的畅通； 4. 安全模式。除了网关外，不响应其它机器发送的ARP Request，达到隐身效果，减少受到ARP攻击的几率； 5. ARP数据 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 。分析本机接收到的所有ARP数据包，掌握网络动态，找出潜在的 攻击者或中毒的机器； 6. 监测ARP缓存。自动监测本机ARP缓存 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf ，如发现网关MAC地址被恶意程序篡改，将报警并自动修复，以保持网络畅通及通讯安全； 7. 主动防御。主动与网关保持通讯，通告网关正确的MAC地址，以保持网络畅通及 通讯安全； 8. 追踪攻击者。发现攻击行为后，自动快速锁定攻击者IP地址； 9. ARP病毒专杀。发现本机有对外攻击行为时，自动定位本机感染的恶意程序、病毒 程序； [编辑本段] ARP ARP是Address Resolution Protocal（地址转换协议）的简称，是TCP/IP协议中最底层的协议之一。它的作用是完成IP地址到MAC（物理地址）的转换。在局域网中两台计 算机之间的通讯，或者局域网中的计算机将IP数据报转发给网关的时候，网卡都需要知道 目标计算机的物理地址，以填充物理帧中的目的地址。 现在假设同一以太网中的计算机A（192.168.0.1）需要向计算机B（192.168.0.2）发送数据报，而此时A尚不知道B的物理地址。为了获得B的物理地址，A在局域网上发送ARP广播，查询192.168.0.2这个物理地址，同时在ARP包中填入自己的物理地址Ma，相当于发出这样的询问―谁拿了192.168.0.2这个地址？请回Ma这个物理地址。‖计算机B在收到了这个查询以后，以Ma为目的地址发回一个ARP包，里面包含了自己的物理地址。 这样通讯的双方都了解了对方的物理地址，通讯过程正式建立。 通常ARP协议都在支持广播的网络上使用，比方以太网，这种数据包不能跨物理网段 使用，即不能跨越一个路由器（除路由器本身还用作ARP代理以外）。 在实际的ARP协议软件的实现中还有一些应该注意的事项：每台计算机上都有一个ARP缓冲，它保存了一定数量的从IP地址到MAC地址的映射，同时当一个ARP广播到来时，虽然这个ARP广播可能与它无关，但ARP协议软件也会把其中的物理地址与IP地址的映射记录下来，这样做的好处是能够减少ARP报在局域网上发送的次数。同时，ARP缓冲中IP地址与物理地址之间的映射并不是一但生成就永久有效，每一个ARP映射表项都有自己的时延，如果过了一定的时间还没有新的ARP到来，那么这个ARP映射就从缓冲中被删除了。那么下一次计算机向这个IP地址发送数据包的时候必须来一次新的查询。 本地网络IP 查找的原理 事实上Windows 本身就用ARP来确定自己的IP地址是否与网络上的另一台计算机发 生了冲突。当一个ARP包到来时，Windows 如果检查到其中的IP地址与本机上的相同，而物理地址不同，这时Windows 就会向用户报告这个IP地址已经被别人占用。非常有意 思的时，Windows 对待IP地址是以先来后到的顺序分配，如果已经有人先占了，那么本机 的网络接口就会被禁用。这也是非常恼人的―特色‖因为一旦开机后有了第一次冲突，以后的 任何网络操作就都无效了。Windows XP 有了一定的进步，它在发现冲突以后并不禁用接 口，而是允许用户进行修复。其实用sniffer可以看到所谓的―修复‖也不过是发了几个ARP包出去，把IP―抢‖回来。 在以前的文章中我描述了一个用ICMP 回送请求（类似PING）进行IP查找的程序。这个程序用并发的几十个线程同时PING网络上的多台计算机，如果回送请求被正确的应答 了，那么可以认为这个IP地址已经被占用，如果没有，我们就宣称它是空闲的。然而它有 优点也有缺点，其优点是能够PING很远的计算机，即使不在同一个物理网段上，缺点是当 目标计算机上安装了防火墙并禁止了ICMP包，或者采用了防ICMP flood 攻击的规则以后都有可能让ICMP回送请求得不到应答。 ARP的优点与缺点正好与ICMP相反。它无法跨物理网段进行IP查找，但是由于没有防火墙禁止ARP包的通过（想想看，如果禁止了ARP包，也就等于不让人家知道你的物 理地址，那么实际上也就是将自己的计算机同网络断开了），所以ARP包的IP查找结果一定是非常精准的。 在实现了一个原始的ARP IP查找版本以后，我发现其结果并不准确，有些已经没有人 使用的IP地址被错误的报成有人占用了，难道我的判断是错误的？当然不，这种错误的原 因是在Windows 的ARP缓冲中。实际上，在发送一个ARP报文的时候，Windows会首先检查本机的ARP缓冲，如果发现了已经有对应的ARP表项，而且还没有过期的话，Windows 并不会发送这个报文，而是直接返回给调用者这个ARP表项的内容。这样一来，假设有计算机中途掉网，而它的ARP表项还没有过期，那么这个程序仍然能够得到它的IP到MAC的映射，自然也就会错误的宣称这个IP地址还在使用中了。在运行这个程序前，我使 用arp –d（事实上，在看了本文以后，你就可以实现一个这样的arp程序了）这个命令来删除缓冲中所有的ARP表项，然后得到的结果就非常准确了。IP Helper API 提供了管理ARP缓冲的过程，所以我修改了这个程序，把arp –d的功能集成到了自己的程序中来。如 果看看《使用TCP/IP协议实际网际互连（第二卷）》你就会明白ARP协议软件中的诸多问题。 IP Helper API GetIpNetTable 函数能够提取出本机上的所有ARP表项。使用它的方法与上一篇文章中使用的函数相当的类似，你也必须两次使用它，第一次获得缓冲的大小， 而第二次获得实际的ARP表。这个映射表是以数组的方式指出的。其结构如下： typedef struct _MIB_IPNETTABLE { DWORD dwNumEntries; //数组的大小 MIB_IPNETROW table[ANY_SIZE]; //数组本身 } MIB_IPNETTABLE, *PMIB_IPNETTABLE; 而MIB_IPNETROW 的定义： typedef struct _MIB_IPNETROW { DWORD dwIndex; // 网络接口的索引号 DWORD dwPhysAddrLen; // 物理地址长度 BYTE bPhysAddr[MAXLEN_PHYSADDR]; // 物理地址 DWORD dwAddr; // IP地址 DWORD dwType; // ARP表项类型 } MIB_IPNETROW, *PMIB_IPNETROW; 其中dwType 即ARP表项类型是比较重要的东西，因为某些ARP表项一但设定就不再改变，比方本机地址的ARP表项和默认网关的地址表项等等，这些ARP表项并不会―过 期‖，除非网络故障或者设置改变了以后，会重新生成一次ARP查询。这种表项被称为―静 态‖的。此时dwType的值为4。在程序中，我们不必删除这类表项（虽然删了它们也不会 造成什么后果）。 然而在实际的程序中，我使用了FlushIPNetTable这个函数来删除特定网卡上的ARP缓冲。 然后是删除一个表项的DeleteIpNetEntry，修改表项的SetIpNetEntry 和添加表项的C reateIpNetEntry 。还有两个管理代理ARP表项的函数，关于代理ARP，可以看看《使用TCP/IP 协议实现网际互连（第一卷）》关于ARP代理的部分，由于与我们的程序无关， 就不做介绍了。 最后需要详述的函数是SendARP。它的原型如下： DWORD SendARP( IPAddr DestIP, // 目的IP 地址 IPAddr SrcIP, // 源IP地址，可选参数，把它填成0不会有问题 PULONG pMacAddr, // 返回的物理地址 PULONG PhyAddrLen // 物理地址的长度 ); 对于我们的这个程序来说，返回了什么样的值并不重要，只要它成功的返回了，就说明 这个IP被占用了。 [编辑本段] 1..瑞星防火墙 瑞星防火墙 国内老牌的安全软件厂商。 2.风云防火墙 风云防火墙 国内防火墙新兴力量，风云防火墙。风云防火墙将秉持自己的简约而不简单的核心开发思想， 认真综合、考虑用户的建议，开发、整合适于当前网络时代防火墙趋势与理念的功能，为用 户提供防护优秀、功能实用、操作简单、占用资源低的风云防火墙。 3.奇虎360ARP防火墙 360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、 保证通讯数据不受第三者控制，完美的解决局域网内ARP攻击问题。 4.彩影ARP防火墙个人版 彩影防火墙 ARP防火墙采用内核层拦截技术和主动防御技术，几大功能模块（拦截ARP攻击/拦截IP冲突/DoS攻击抑制/安全模式/ARP数据分析/监测ARP缓存/主动防御/追踪攻击源/查杀ARP病毒/系统时间保护/IE首页保护/ARP缓存保护/自身进程保护/智能防御）互相配合，可彻 底解决ARP相关问题，扼杀DoS攻击源。 5.超级巡警 超级巡警防火墙 专门查杀并可辅助查杀各种木马、流氓软件、利用rootkit技术的各种后门和其它恶意代码(间 谍软件、蠕虫病毒)等等。提供了多种专业工具，提供系统/IE修复、隐私保护和安全优化功能，提供了全面的系统监测功能，使你对系统的变化了如指掌，配合手动分析可近100%的 查杀未知恶意代码！ 6.金山ARP防火墙 金山防火墙 金山ARP防火墙能够双向拦截ARP欺骗攻击包，监测锁定攻击源，时刻保护局域网用户P C的正常上网数据流向，是一款是适于个人用户的反ARP欺骗保护工具！ 网关动态探测+识别——识破伪造的网关地址 动态获取、并分析判断后为受保护PC绑定正确的网关地址，从而时刻保障保护本机上 网数据的正确流向。同时也支持用户手动设置绑定网关地址。 主动向真网关表明合法身份 双向拦截ARP攻击——外部攻击、本机受感染攻击均不影响使用 拦截来自外部接受或是由本机发出的ARP攻击数据包并提醒用户，保障本机及其它P C的网络通畅。 保护本机不受IP冲突攻击的影响 攻击源追踪锁定，抓住罪魁祸首 拦截到ARP攻击包后立即追踪攻击源，找出安全威胁源头。 主动实时升级主动漏洞修复。 让受保护PC在局域网隐身，恶性攻击无从下手 独有―安全桌面‖：采用底层驱动技术特殊保护下的独立空间，有效隔绝盗号木马的各种 攻击，尤其适合进行全屏游戏的时候使用，并且和正常桌面之间的切换方便无门槛。当程序 在密保的保护下运行时，如有其他程序对其产生注入等可疑行为的时候，利用金山毒霸强大 的互联网可信认证技术，利用强大的后台数据支持来判断安全与否，从而最大程度的减少对 用户的骚扰，且更有利于拦截危险程序 可疑行为拦截+互联网可信认证 当程序在密保的保护下运行时，如有其他程序对其产生注入等可疑行为的时候，利用金 山毒霸强大的互联网可信认证技术，利用强大的后台数据支持来判断安全与否，从而最大程 度的减少对用户的骚扰，且更有利于拦截危险程序。当程序在密保的保护下运行时，如有其 他程序对其产生注入等可疑行为的时候，利用金山毒霸强大的互联网可信认证技术，利用强 大的后台数据支持来判断安全与否，从而最大程度的减少对用户的骚扰，且更有利于拦截危 险程序。对被保护进程使用了进程隐藏功能之后，如同穿上了传说中的隐身衣，这些进程将 无法被Ring3层的其他程序所发现。从而加大了木马查找并攻击这些程序的难度。（注意： 这个功能可能会导致某些使用了行为拦截技术的软件误报为Rootkit）。 arp防火墙使用搜索 “arp...” , 本站搜索更多关于“arp防火墙使用方法”的内容 Q: 防火墙软件支持哪些平台？ A: 目前支持Windows 2000/xp/2003，从4.1beta2开始支持vista(x32)，不支持windows 98/me/vista(x64)。 Q: ARP防火墙显示的几种不同类型的数据是什么意思？ A: 目前ARP防火墙显示的数据类型有以下几种， (1) 外部ARP攻击－显示的数据是别人对你的ARP攻击（别人攻击你） (2) 外部IP冲突－显示的数据是别人对你的IP冲突攻击（别人攻击你） (3) 对外ARP攻击－显示的数据是你对别人的ARP攻击（你攻击别人） (4) 对外IP攻击－显示的数据是你对别人的伪造源IP攻击，通常是TCP SYN Flood（你攻击别人） (5) 对外IP洪水－当你本机发送数据的速度超过设定的阀值时，防火墙会启动拦截，拦 截后的数据会显示这里。 (6) 安全模式－安全模式下只响应来自网关的ARP Request，别的机器发的ARP Request会被拦截，拦截后的数据显示在这里。 (7) 抑制发送ARP－当你本机发送ARP的速度超过设定阀值时，防火墙会启动拦截，拦 截后的数据会显示这里。 (8) 分析接收到的ARP－显示的是本机收到的所有ARP数据包，用以分析网络状况。这里显示的数据只是供经验丰富的网管人员分析网络中是否存在潜在的攻击者或者中毒机器， 与是否存在ARP攻击没有必然联系。如果你不是网管人员，且你现在网络正常，完全可以 忽略这里面显示的数据。 Q: 怎么判断我是否中了ARP（病毒）？ A: 只有ARP防火墙显示有“对外ARP攻击”，才能说明你中了ARP病毒（或者你正在使用攻击软件）。 Q: “分析接收到的ARP”里面，有些机器发送的ARP数据量特别大，怎么办？ A: 如果你是网管，在发送数据量大的机器安装ARP防火墙。 如果你不是网管，建议你要么把这个情况报给网管，要么就别操这份心了:D Q: ARP防火墙提示拦截到有“外部ARP攻击”，怎么办？ A: 如果你的网络受到影响，建议你把主动防御设置为始终运行，如果情况没有好转，请逐 步调大防御速度。你可以把情况报给网管，让他去消除攻击源。 Q: 为何在“分析接收到的ARP”里面，会有很多来自网关的“非广播－Reply”包？ A: 主动防御发送给网关ARP包后，网关会回复ARP Reply包。在两种情况下防火墙会发送 主动防御包给网关， (1) 主动防御设置为“始终运行”时 (2) 主动防御设置为“警戒”，当检测到攻击，切换到“警戒－启动防御”时 Q: 为何ADSL连接后，报“WINDOWS\System32\svchost.exe”对外进行攻击？ A: 非常抱歉，这是误报，我们将在下一版本解决这个问题。这个误报的表现形式为：“对外IP攻击”，类型为“ip protocol no:139”或“ip protocol no:2”（v4.1才有这个问题） Q: 什么是洪水抑制? A: 洪水攻击即DoS攻击，即常说的拒绝服务攻击。ARP防火墙的洪水抑制功能，可以根 据你设定的阀值，在数据（TCP SYN/UDP/ICMP）流量达到阀值时，开始进行拦截。用于拒 绝服务攻击（DoS攻击）的数据包于普通的数据包没有太多差异，发包速度几乎是唯一的判 断标准。某些应用程序，可能会造成很大的流量（如PPLive，Emule，BT等），如果洪水抑制的阀值设置不当，可能会影响你的正常使用。如果你对洪水攻击（DoS攻击）不熟悉，强烈建议不要启用“洪水抑制”功能，以免影响你的正常使用！ Q: 洪水抑制有何作用？ A: 对于单台机器的意义：避免本机中病毒后，成为DoS攻击源。拦截本机对外的DoS攻击数据，可以降低本机的网络流量，保障网络畅通，发现本机的DoS病毒，避免给自己带来潜在的麻烦。 对于局域网的意义：如果局域网内全部部署了带洪水抑制功能的ARP防火墙，可以保障局域网机器不受DoS攻击影响，把DoS攻击扼杀在源头，保证局域网的网络畅通！ Q: 安装v4.1后，玩游戏时（或运行其它程序）怎么感觉有点卡？ A: 如果你感觉卡，请检查ARP防火墙有没有报“对外IP洪水”，如果有，那是因为你设置的DoS（洪水攻击）阀值太低，正常的应用程序触发了阀值。如果你对洪水攻击（DoS攻击）不熟悉，强烈建议不要启用“洪水抑制”功能，以免影响你的正常使用！ Q: 单机版和网络版哪个好？ A: 单机版和网络版的核心代码都是一样的，单机版适合保护单台机器，网络版适合保护整 个网络。 Q: 保护一个网络，应该选用单机版还是网络版？ A: 保护一个网络，可以有两种可选办法， (1) 部署单机版。优点：（目前）免费 缺点：没有统一管理功能，不能及时掌握所有 客户机的状态，单机版有过期时间，过期之后需要全部重新安装或升级。 (2) 部署网络版。优点：具有统一管理功能，可及时掌握整个网络的情况，在正式版KEY的有效期内，没有过期限制。 缺点（？）：需要支付少量注册费用 切记：不管是单机版还是网络版，如果你需要保护整个网络，一定要全部部署，才能达 到最佳效果。 Q: ARP防火墙支持无盘系统吗？ A: 因为安装ARP防火墙时，需要安装NDIS驱动程序，在这过程中网络会闪断几秒，所以 不支持在无盘客户端直接安装。请通过母盘进行安装。 Q: 为何在用做代理共享上网的机器上安装ARP防火墙后，下面的机器就上不了网了？ A: 代理共享上网时，机器会把进出的数据进行修改（NAT原理），这跟ARP防火墙的部分功能有冲突，ARP防火墙会认为这是对外攻击。如遇到此情况，请在软件配置里面把“拦截本机对外ARP攻击”、“拦截本机对外伪造IP攻击”取消即可。 Q: 安装微软的“ARP补丁”有效吗？ A: 在windows 2000系统中，通过arp -s命令来绑定IP和MAC是无效的。微软的“ARP补丁”解决的就是这个问题。这并不代表着，安装“ARP补丁”后，就不会再有ARP问题，请区分清楚。 Q: 软件安装后，为何360安全卫士查出恶意软件 “ WebHop恶意软件 - 危险 - C:\WINDOWS\system32\drivers\oreans32.sys” A: 彩影软件用的软件加密程序是Themida，oreans32.sys是Themida的一部分。这是360卫士误报。彩影软件绝不捆绑恶意软件，并已向 360安全卫士提交了相关情况，360安全卫士在最新版本的恶意软件特征库中已经解决这个问题，请广大网友放心使用。 Q: 为何有些杀毒软件（如AVG Anti-spyware）报防火墙安装目录下的"snetcfg.exe"为后门？ A: snetcfg.exe是微软公司提供的一个工具，用于安装驱动程序。ARP防火墙的驱动程序就是通过snetcfg.exe来安装的。这个纯属杀毒软件误报，请放心使用。可以把snetcfg.exe程序删除，不影响ARP防火墙正常使用。我们会在下一版本解决这个误报的问题。 Q: 什么是广播、非广播、Reques、Reply，它们是干吗用的？ A: (1) 广播－局域网内所有机器都可以接收到 (2) 非广播－只有你本机可以接收到 (3) Request－是ARP请求包，请求获取某个IP的MAC地址 (4) Reply－是ARP回复包，通告某个IP的MAC地址 假设你的机器的IP是192.168.0.2，当你的机器想与192.168.0.1进行通讯时，它会先查 一下本机的ARP缓存表中有没有192.168.0.1的MAC地址，如果有的话，它们就直接可以 通讯了。如果没有，你的机器会发一个ARP“广播-Reques”包（这个包局域网内所有机器都 可以接收到），问“192.168.0.1的MAC地址是什么呀，快点告诉我”，192.168.0.1收到这个广播包之后，就会给你的机器回复一个ARP“非广播-Reply”包，告诉你“嘿，我的MAC是xx-xx-xx-xx-xx-xx”。这样在你本机获取了192.168.0.1的MAC地址后，你们就可以正常通 讯了。上述过程就是ARP协议的工作过程，所以说ARP协议是局域网通讯的基石。一般情 况下，广播的都是Request包，非广播的都是Reply包。 Q: 4.0beta4版本中新出现的“主动防御”功能有什么作用？ A: ARP攻击软件一般会发送两种类型的攻击数据包： (1) 向本机发送虚假的ARP数据包。此种攻击包，ARP防火墙可以100%拦截。 (2) 向网关发送虚假的ARP数据包。因为网关机器通常不受我们控制，所以此种攻击包我们无法拦截。“主动防御”的功能就是，“告诉”网关，本机正确的MAC地址应该什么，不要 理睬虚假的MAC地址。 Q: “主动防御”三种不同的配置分别是什么意思？ A: 主动防御支持三种模式 (1) 停用。任何情况下都不向网关发送本机正确的MAC地址。 (2) 警戒。平时不向网关发送本机正确的MAC地址。当检测到本机正在受到ARP攻击时，开始向网关发送本机正确的MAC地址，以保证网络不会中断。 (3) 始终运行。始终向网关发送本机正确的MAC地址。如果攻击者只向网关发送攻击数据， 不向本机发送攻击数据，那么如果主动防御处于“警戒”状态时是无法保证网络不会中断的， “始终运行”主动防御功能，可以应对这种情况。主动防御设置为始终运行时，本机会持续向 网关发送ARP包，网关收到后会给本机回复ARP包。所以当主动防御设置为始终运行时， “分析接收到的ARP”包里面有大量来自网关的ARP包是正常的。 Q: “主动防御”速度设置为多少比较合适？ A: 主动防御功能默认配置为：警戒状态，发包速度10 pkts/s。经过彩影软件大量测试，防 御速度为10pkts/s时可以应对市面上大多数ARP攻击软件。向网关发送正确MAC时，每次会发送两种类型的数据包，每个数据包大小是42字节(Bytes)，所以当速度为10时，网络流量是： 10*2*42=840Bytes，即不到1KBytes/s。同理可计算，防御速度为100时，网络流量<10KBytes/s。防御速度支持自定义，最小为1，最大为100（v4.0.1调准为最大200），用户可以根据自己的网络情况自行调准。 Q: 为何ARP防火墙没有检测到攻击，但我仍然会掉线（断网）？ A: 原因有几种： (1) 可能是攻击者只向网关发送了ARP攻击数据包，所以ARP防火墙没有检测到攻击。解决办法：建议用户把“主动防御”功能设置为“始终运行”，并且根据网络状况逐步调大防御速 度。例如：如果速度为10，网络还有点断断续续，那就调到20，20还不行，就调到30。 (2) ARP防火墙在启动之前，机器就已经处于攻击之下，ARP防火墙自动取到的网关MAC地址是假的。解决办法：咨询网管人员，获取网关的正确MAC，然后在ARP防火墙中手动设置网关的IP/MAC。 (3) 如果上述两个办法都不可行，那么估计掉线原因就跟ARP攻击没有关系了，毕竟造成 掉线的原因有很多，如：硬件问题、线路问题、应用程序（如游戏）本身的问题等等。 Q: 主动防御已经设置为“始终运行”，为何还会掉线？ A: 原因可能有， (1) 掉线的原因有很多，ARP问题只是比较常见的一种，有可能掉线不是ARP问题造成的 (2) 如果攻击者攻击网关的速度，大于你的防御速度，出现掉线是无法避免的，此时网 络可能会断断续续。彻底的解决办法是消除攻击源，如果你无法消除攻击源，那么只能把防 御速度调到最大。如果防御速度设置为最大，网络还断断续续，那么对于这种极端情况，在 本机安装任何软件都无法再帮到你。 Q: 我安装的ARP防火墙一定要点一下追踪才能上网 , 追踪停止了马上就不能上了，为什 么? A: 网关受到了攻击，网关获取到的你本机的MAC是错误的。点击“追踪”后，ARP防火墙会对外发包进行MAC扫描，在追踪过程中，网关能重新获取到你本机正确的MAC地址，所以网络能通一会儿。追踪停止后，网关再受到攻击，获取到你的MAC又是错误的，所以你的网络又断了。对于这种情况，把主动防御设置为“始终启用”就可以了，主动防御能够持 续向网关通告你本机的正确MAC。 Q: 修改IP就能上网了，不改上不了，为什么？ A: 网关受到了攻击，网关获取到的你本机的MAC是错误的。对于这种情况，把主动防御 设置为“始终启用”就可以了，主动防御能够持续向网关通告你本机的正确MAC。 Q: 我在本机绑定了网关的IP/MAC（假设网关的IP/MAC都是准确无误的），为何还上不了 网？ A: 保证网络畅通有两个条件， (1) 你本机上，网关MAC是正确 (2) 网关上，你本机的MAC是正确的 虽然你在本机绑定了网关的IP/MAC，但你无法保证网关获取到的你本机的MAC地址是正确的。如遇到此情况，把主动防御设置为始终运行即可。主动防御的作用就是，向网关通 告你本机的正确MAC地址。 Q: 被人限制了网速，怎么办？ A: 限制网速的方法有很多，通过ARP欺骗来实现是比较流行的一种方式。如果是通过ARP欺骗实现的限速，ARP防火墙的默认配置即可帮你解除限制。如果收效不大，建议把主动 防御设置为“始终运行”。如果这样还不行，那么可以断定限速不是通过ARP欺骗来实现，对于这种情况，很抱歉，ARP防火墙帮不到你（也没有任何软件可以帮到你，因为从原理 上无法绕过）。 Q: 安全模式有何作用？启用会出现不良后果吗？ A: 安全模式作用是，只响应来自网关的ARP Request，即是说，除了网关，其它机器无法 通过正常途径获取你的MAC地址。注意：这并不意味着别的机器无法获取你的MAC，只是增加难度而已。所以安全模式效果只是可以减少受到攻击的几率，不是完全杜绝。安全模 式的优点：增加攻击者获取你MAC地址的难度，降低被攻击的几率。安全模式的缺点：局 域网其它机器无法主动与你联系。正常情况下，启用安全模式不会影响你本机的正常使用。 Q: 如果攻击者的MAC是伪造的，有办法查到攻击者是谁吗？ A: 如果你的交换机带网管功能，是可以查到的。假设攻击者伪造的MAC地址为AA-AA-AA-AA-AA-AA，办法如下： (1) 登录核心交换机，通过以下命令查询虚假MAC的来源 #sh mac-address-table dynamic address aaaa.aaaa.aaaa 命令输出类似如下： Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 7 0010.db58.3480 DYNAMIC Po1 7 aaaa.aaaa.aaaa DYNAMIC Gi1/0/11 <<<<< (2) 通过以下命令查询Gi1/0/11接的主机，还是网络设备 #show cdp neighbors 如果Gi1/0/11接的是交换机，那么登录此交换机，重复上述操作。如果接的是主机，那 么此主机即是攻击者。 Q: 为何相同的数据会显示两次？如： A: 因为界面宽度有限，只显示了比较重要的信息。看起来两行数据一样，其实里面有些数 据是不同的，所以才会分别显示。注：从4.1beta1开始，已经解决了此问题。 Q: 为什么防火墙总提示“检测到arp缓存表中网关的mac地址已被修改，已修复。可能是感染了病毒或在arp防火墙启动之前已经被攻击。”？ A: 在两种情况下会出现这种提示 (1) 本机中了病毒或其它恶意软件，它们篡改了本机ARP缓存表中网关的MAC地址 (2) 防火墙获取网关MAC的方式设置为自动，且在防火墙启动之前就已经处于攻击之下。 (3)在网卡状态发生变化时（如插拔网线、DHCP获取IP地址时、网卡禁用再启用时），程序有可能会产生误报。从v4.1beta1开始，已经解决了这个误报的问题。 注意：ARP防火墙可以检测到本机ARP缓存中网关MAC被篡改的情况并修复，但无法阻止病毒或恶意软件再次篡改。如遇此情况，请查毒杀毒。 Q: ARP防火墙单机版是免费的吗？为何设置有过期时间？ A: 目前为免费试用。我们会不断更新和完善ARP防火墙，为了让用户都及时下载安装使用 最新版本，所以目前的版本中设置了过期时间，届时请下载新版本。 Q: 病毒修改系统时间后，ARP防火墙就不能正常使用了，怎么办？ A: (1) 正在开发的网络版 v3.1，将去除客户端的时间限制 (2) 正在开发的单机版 v4.2，将引入“禁止修改系统时间”功能，届时能阻止病毒修改系统时间，并能定位试图修改系统时间的病毒进程。 Q: 软件过期时间未到，但软件为何提示“版本已过期”？ A: 因为你在软件运行前或运行中更改过系统的时间。任意更改系统时间可能会造成软件运 行不正常。如遇此情况，建议按如下方法解决： (1)卸载防火墙软件 (2)将系统时间设置为正确的时间 (3)重新安装防火墙软件 如果因某些原因，确实需要临时修改系统时间来做某些测试，那么建议 (1) 在防火墙软件运行期间不要修改系统时间。 (2) 在运行防火墙软件前，确保系统时间是正确的。 Q: 为什么攻击者IP显示为Unkonw？ A: 攻击者IP显示为Unkonw时有几种可能： (1) 未启用“主动收集IP/MAC”功能，解决办法：点击菜单栏的“追踪”按钮 (2) 如果“追踪”完成之后或者处于“主动收集－自动开始”状态，仍然显示为unkown，那么攻击者的MAC地址可能是伪造，无法追查到对应的IP地址。 (3) v4.0.1存在一个BUG，在某些情况下，即使MAC地址是存在的，也可能无法追查到攻 击者IP地址。v4.0.2已经解决了这个问题。 Q: ARP防火墙的保护密码忘记了，怎么办？ A: 有几种办法， (1) 进入到软件配置界面，清除之前设置的密码 (2) 如果无法进入到软件配置界面，删除ARP防火墙安装目录下的aas.ini文件，然后重新运行软件即可。 Q: 取消选中“拦截本机对外攻击”后，为何本机IP/MAC不显示了？ (v4.0.1才有这个问题) A: 这是程序的BUG。这个BUG不影响防火墙的防御效果，只是本机IP/MAC无法显示，请放心使用。v4.0.2已经解决了这个问题。 Q: 安装新版本前需要卸载旧版本吗？新版本能覆盖安装旧版本吗？ A: 安装新版本前需要卸载旧版本，不能覆盖安装。 Q: 如何卸载软件？ A: 以下办法可任选其一 (1) 进入 "控制面版 > 添加删除程序" (2) 运行安装程序，它会提示三个选项：Modify/Repair/Remove，选择remove即可进行卸载。 (3) 4.0.2在开始菜单栏新加了“卸载”菜单 Q: 如何手工卸载ARP防火墙？ A: 按照以下方法， (1) 关闭ARP防火墙 (2) 打开网卡属性界面，定位到带AntiARP字样的两个驱动，点击卸载 (3) 打开注册表，搜索"AntiARP"，把找到的条目，全部删除。 (4) 删除文件 Q: 软件设置里面已经设置为开机自动启动，但为何不起作用？ A: 检查注册表 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下键值 AntiARPStandalone 指向的路径是否正确。如果不正确，删除AntiARPStandalone，再次运行防火墙时，会自动写入正确的键值。（或手工输入正确的键值） 注1：4.0.2已经解决了这个问题，应该不会再出现这种情况。 注2：Vista系统不支持“开机自动运行”功能 Q: 任务管理器里面有进程，但没有界面显示，怎么办？ A: 目前有几位用户反馈了这个问题，暂时无法确认原因。如遇此情况，请按照以下方法试 一下： 1. 进入程序安装目录，打开Config.ini文件，将以下条目改为如下： AutoRun=0 AutoMin=0 AutoProtect=0 2. 重起机器 Q: 为何ARP防火墙显示乱码 A: 因为你的机器没有正确设置语言。可参考以下方法来解决（感谢网友lzawindows提供）： (1) 进入 控制面板 > “Regional and Language Options” (2) 确定 Languages页面的 Install files for East Asian Languages 已经选择并且安装了 (3) 在Regional Options页面的 "Standards and formats"框选择“Chinese (PRC)”， 并且在 在“Location” 选择 China (4) 在Advanced页面的Language for non-unicode programs 里面选择 “Chinese (PRC)” 然后重新启动计算机。 Q: 软件安装过程中，为何网络会中断？ A: ARP防火墙单机版v4.0依赖驱动程序对ARP攻击数据进行拦截，软件安装过程中需要 安装驱动程序，此时网络会有几秒种的中断，这是正常现象，请广大网友放心使用。 Q: 更改本机IP地址时，为何软件会报告有攻击行为？ A: 为了降低资源占用率，ARP防火墙每隔5秒读取一次网卡的IP地址设置。更改本机IP地址时，操作系统会向网络广播新的IP和MAC地址，此时如果防火墙还没有从网卡获取 到新的IP地址，那么上述ARP广播包会被拦截，且会报告为本机正在向外攻击。上述ARP广播包被拦截后，不会对本机网络正常使用造成任何问题，请用户放心。注：从4.1beta1开始，已经解决了这个问题。 Q: 防火墙支持以普通用户身份运行吗？ A: 从v4.1beta1开始支持，之前的版本不支持。 Q: 有无绿色版本（无需安装）？ A: ARP防火墙需要与驱动程序配合，才能拦截恶意数据，所以需要通过安装程序来安装驱 动，无绿色版本。 Q: ARP防火墙为何也会拦截对外攻击的数据包？能禁止拦截吗？ A: 如果本机感染了ARP病毒，这些病毒会对外发送大量攻击数据，可能会给用户带来一些 不必要的麻烦，所以ARP防火墙默认会拦截对外攻击。从v4.0.1开始，支持将拦截对外攻 击做为可配置。 Q: 运行ARP防火墙之后，为何用"arp -a"命令还能看到其它主机？ A: ARP防火墙不是拦截所有ARP包，只是拦截虚假的ARP包。所以它并不能保证你用"arp -a"命令看不到其它主机，但它能保证网关的MAC是正确的。反过来说，如果你用"arp -a"命令看不到任何主机，那么你的机器就“断网”了（或者说跟局域网内的所有机器都没有通 讯）。