安装防网关欺骗保护程序的通知

2007/4/12 16:40:35 来源:本站 评论:

各校园网用户:

    近期校内学生宿舍,教工家属区,办公区都不同程度的受到ARP网关欺骗病毒的攻击,影响校内校园网用户正常访问网络。为了保证广大教职工正常办公、学习,网络中心建议校园网用户所有电脑都安装防网关欺骗保护程序最新版4.0.2。软件按照默认方式进行安装,参数默认即可。当前版本有效期到2007年7月1日,网络中心将会及时给大家提供最新版本。

    另外建议校园网用户安装360安全卫士,扫描流氓软件,以及常见木马。如有非常顽固的病毒木马,建议使用卡巴斯基杀毒软件查杀。

     防网关欺骗保护程序可在学校ftp上下载,或者  点击下载

     360安全卫士下载: 点击下载

     如有疑问,请拨打网络中心电话:5687184

                              网络中心

                             2007-4-12日

防网关欺骗保护程序使用说明:

本文章为帮助用户快速使用ARP防火墙,主要分为二部分如下:
.安装与卸载;
.快速使用入门;

+ 安装ARP防火墙单机版:
支持操作系统:Windows 2000/XP/2003

1.使用浏览器下载ARP防火墙单机版,下载地址为:http://www.antiarp.com/newsopen2.asp?ArticleID=14
2.完成下载之后双击安装包运行,如下图:

3.单击[ Next> ]按钮开始安装,使用本软件需要接受许可协议,如下图:

4.点选[ I accept the terms in the License Agreement ] 按钮说明你接受我们的许可协议,点击[ Next > ]按钮之后,再点击[ Install > ]按钮开始安装本程序如下图:

5.安装程序在安装过程中大约需要十秒钟左右,如果出现以下安装界面恭喜您已经安装成功,如下图:

常见问题:
Q:  软件安装过程中,为何网络会中断?
A: ARP防火墙单机版依赖驱动程序对ARP攻击数据进行拦截,软件安装过程中需要安装驱动程序,此时网络会有几秒种的中断,这是正常现象,请广大网友放心使用。 安装软件过程中请关闭网卡属性对话框。

Q:  为什么不能安装新版本的软件?
A: 由于旧版本的ARP防火墙没有卸载,所以在安装新版本软件出现无法安装的提示,请卸载旧版本之后重新安装,卸载过程中请关闭软件。

Q:  为什么安装了软件上不了网?
A: 1.由于攻击者发送的数据包超大导致无法与网关进行通讯,请在软件设置里调节防御值。
   2.由于软件读取错误的网关MAC地址导致无法与网关进行通讯,请在软件设置里手工输入网关IP与MAC地址。
   3.请重新启动计算机看是否能解决问题。如果依然无法解决请向我们反馈。

+ 卸载ARP防火墙单机版
点击开始-->设置-->控制面板-->添加删除程序,点选< AntiARP Stand-alone Edition >,单击 Remove ,在出现的对话框点击[ Yes ]开始卸载

常见问题:
Q:  软件卸载过程中,为何网络会中断?
A: ARP防火墙单机版依赖驱动程序对ARP攻击数据进行拦截,软件卸载过程中同样需要卸载驱动程序,此时网络会有几秒种的中断,这是正常现象,请广大网友放心使用。 卸载软件过程中请关闭网卡属性对话框。

Q:  软件卸载过程中,为何卸载不成功?
A: ARP防火墙单机版卸载过程中需要关闭ARP防火墙单机版软件,未卸载成功是由于软件正在运行,请关闭软件之后卸载软件。



+ 快速使用入门
软件术语:
外部攻击数据-->是指本机受到外部计算机的攻击数据
IP冲突数据---->是指本机受到外部计算机的攻击数据
对外攻击数据-->是指本机对外发出的攻击数据

1.
双击桌面[AntiARP]图标启动软件,软件界面如下:




软件状态说明:


拦截对外攻击---->拦截本机对外发送的虚假数据包累计。
拦截 IP 冲突---->受到外部攻击的IP冲突欺骗累计次数。
拦截外部攻击---->受到外部其它计算机攻击的累计次数。
发送ARP广播----->本机发送的ARP广播包累计数量。
接收ARP广播----->本机接受的ARP广播包累计数量。
主动防御速度---->受到外部攻击时向网关发送正确MAC的数量。
本机 IP/MAC----->本机的IP以及MAC地址,支持多网卡多IP。
网关 IP/MAC----->网关的IP以及MAC地址。
主动防御状态---->状态分为[待命与防御]。


ARP攻击详细信息说明:


图片说明:
+ [外部攻击数据] 受到外部计算机攻击的次数达到1110次,对于检测是否存在ARP攻击非常有效。
+ [ IP 冲突数据] 受到外部IP冲突攻击的次数,0表示没有发生IP冲突攻击。对于检测是否存在IP冲突攻击非常有效。
+ [外部攻击数据] 本机对外攻击的次数。这个功能对于检测本机是否感染了ARP恶意程序来说是个不错的功能,即使感染了ARP病毒也不会影响网络,因为虚假数据全部被拦截。


如何追踪攻击者:


图片说明:
+ 软件自动识别攻击者MAC地址为:00-11-22-33-44-55,推荐使用 MacScan.exe 扫描IP与MAC地址的对应列表,如果扫描出的IP与攻击者MAC地址相符,说明该IP进行了ARP欺骗,但数据也有可能是伪造的。
+ 如果扫描的IP与MAC列表中找不到攻击者MAC,说明该MAC地址是伪造的。建议管理员在网关设备上分析并查找ARP包的来源。


常见问题:

Q:  更改本机IP地址时,为何软件会报告有攻击行为?
A: 为了降低资源占用率,ARP防火墙每隔5秒读取一次网卡的IP地址设置。更改本机IP地址时,操作系统会向网络广播新的IP和MAC地址,此时如果防火墙还没有从网卡获取到新的IP地址,那么上述ARP广播包会被拦截,且会报告为本机正在向外攻击。上述ARP广播包被拦截后,不会对本机网络正常使用造成任何问题,请用户放心。

Q: ARP防火墙为何也会拦截对外攻击的数据包?能禁止拦截吗?
A: 如果本机感染了ARP病毒,这些病毒会对外发送大量攻击数据,可能会给用户带来一些不必要的麻烦。同时,彩影软件也不赞同攻击行为,所以ARP防火墙默认也会拦截对外攻击。暂时没有计划将拦截对外攻击做为可配置。请各位用户给予理解和支持!

Q:  beta4版本中新出现的“主动防御”功能有什么作用?
A: ARP攻击软件一般会发送两种类型的攻击数据包:
 (1) 向本机发送虚假的ARP数据包。此种攻击包,ARP防火墙可以100%拦截。
 (2) 向网关发送虚假的ARP数据包。因为网关机器通常不受我们控制,所以此种攻击包我们无法拦截。“主动防御”的功能就是,“告诉”网关,本机正确的MAC地址应该什么,不要理睬虚假的MAC地址。

Q: “主动防御”三种不同的配置分别是什么意思?
A: 主动防御支持三种模式
 1, 停用。任何情况下都不向网关发送本机正确的MAC地址。
 2. 警戒。平时不向网关发送本机正确的MAC地址。当检测到本机正在受到ARP攻击时,开始向网关发送本机正确的MAC地址,以保证网络不会中断。
 3. 始终运行。始终向网关发送本机正确的MAC地址。如果攻击者只向网关发送攻击数据,不向本机发送攻击数据,那么如果主动防御处于“警戒”状态时是无法保证网络不会中断的,“始终运行”主动防御功能,可以应对这种情况。     

Q: “主动防御”速度设置为多少比较合适?
A: 主动防御功能默认配置为:警戒状态,发包速度10 pkts/s。经过彩影软件大量测试,防御速度为10pkts/s时可以应对市面上大多数ARP攻击软件。向网关发送正确MAC时,每次会发送两种类型的数据包,每个数据包大小是42字节(Bytes),所以当速度为10时,网络流量是: 10*2*42=840Bytes,即不到1KBytes/s。同理可计算,防御速度为100时,网络流量<10KBytes/s。防御速度支持自定义,最小为1,最大为100,用户可以根据自己的网络情况自行调准。

Q: 运行ARP防火墙之后,为何用"arp -a"命令还能看到其它主机?
A: ARP防火墙不是拦截所有ARP包,只是拦截虚假的ARP包。所以它并不能保证你用"arp -a"命令看不到其它主机,只能保证你看的数据都是正确的。反过来说,如果你用"arp -a"命令看不到任何主机,那么你的机器就“断网”了。

Q: 为何ARP防火墙没有检测到攻击,但我仍然会掉线(断网)?
A: 原因有几种:
 1.可能是攻击者只向网关发送了ARP攻击数据包,所以ARP防火墙没有检测到攻击。解决办法:建议用户把“主动防御”功能设置为“始终运行”,并且把防御速度设置到最大:100。
 2.ARP防火墙在启动之前,机器就已经处于攻击之下,ARP防火墙自动取到的网关MAC地址是假的。解决办法:咨询网管人员,获取网关的正确MAC,然后在ARP防火墙中手动设置网关的IP/MAC。
 3. 如果上述两个办法都不可行,那么估计掉线原因就跟ARP攻击没有关系了,毕竟造成掉线的原因有很多,如:硬件问题、线路问题、应用程序(如游戏)本身的问题等等。

 

正在读取…
我也评两句

   

相关文章
·暂无