一、一般选项
1.显示配置
(1)〖自动最小化到系统栏〗
(2)〖启动后自动隐藏(需先设置热键)〗请先设置热键,不然隐藏后主界面将无法呼出 。
(3)〖拦截到攻击时弹出气泡提示〗
(4)〖拦截到攻击时闪动图标提示〗
(5)〖ARP缓存表被篡改时弹出气泡提示〗ARP防火墙会自动监测本机ARP缓存表,当发现网关MAC地址还篡改时,可弹出气泡提示 。禁用弹出气泡提示,不影响防火墙继续监测和修复本机ARP缓存 。
(6)〖程序状态改变时弹出气泡提示〗
(7)〖自动切换到有最新数据的页面〗
(8)〖隐藏没有数据的页面〗
2.密码保护
密码保护可用于程序卸载、隐藏界面呼出、程序退出、参数设置 。
3.运行配置
(1)〖登录后自动运行〗用户登录系统时自动运行ARP防火墙,用户注销后防火墙终止运行 。系统开机后如果无用户登录,防火墙将不会运行 。
(2)〖程序运行后自动开始保护〗程序运行后自动进入保护状态
(3)〖自动检测新版本〗检测到可用新版本时,提醒用户是否打开下载页面 。ARP防火墙不会自动下载和自动更新到新版本 。默认是隔7天检测一次有无可用新版本 。
4.热键配置
5.数据分析
(1)〖分析接收到的ARP数据包〗分析接收到的所有ARP数据包,分析ARP数据包主要由哪些机器产生,以掌握网络情况,为找出局域网内潜在的攻击者或中毒机器提供帮助 。注意:接收到大量ARP数据包,并不意味着本机存在问题,只代表本局域网内可能存在攻击者或中毒机器 。二、主动防御和追踪
1.主动防御
ARP攻击软件一般会发送两种类型的攻击数据包:
(1)向本机发送虚假的ARP数据包 。此种攻击包,ARP防火墙可以100%拦截 。
(2)向网关发送虚假的ARP数据包 。因为网关机器通常不受我们控制,所以此种攻击包我们无法拦截 。“主动防御”的功能就是,“告诉”网关,本机正确的MAC地址应该什么,不要理睬虚假的MAC地址 。
主动防御支持三种模式
(1)停用 。任何情况下都不向网关发送本机正确的MAC地址 。
(2)警戒 。平时不向网关发送本机正确的MAC地址,状态为“警戒-待命” 。当检测到本机正在受到ARP攻击时,状态切换为“警戒-启动防御”,开始向网关发送本机正确的MAC地址,以保证网络不会中断 。持续30秒没有检测到攻击时,状态从“警戒-启动防御”切换回“警戒-待命”,停止发包,
(3)始终运行 。始终向网关发送本机正确的MAC地址 。如果攻击者只向网关发送攻击数据,不向本机发送攻击数据,那么如果主动防御处于“警戒”状态时是无法保证网络不会中断的,“始终运行”主动防御功能,可以应对这种情况 。强烈建议校园网用户不要把主动防御设置为始终运行,以避免被网络管理中心误判为中毒机器,如果确实需要,建议把防御值设置为1~2 。
【ARP防火墙优化设置图解】 关于主动防御的速度
主动防御功能默认配置为:警戒状态,发包速度10 pkts/s 。经过彩影软件大量测试,防御速度为10pkts/s时可以应对市面上大多数ARP攻击软件 。向网关发送正确MAC时,每次会发送两种类型的数据包,每个数据包大小是42字节(Bytes),所以当速度为10时,网络流量是: 10*2*42=840Bytes,即不到1KBytes/s 。同理可计算,防御速度为100时,网络流量<10KBytes/s 。防御速度支持自定义,用户可以根据自己的网络情况自行调准,强烈建议校园网用户不要设置过高的防御值(超过5),以避免被网络管理中心误判为中毒机器 。
2.追踪攻击者IP(MAC扫描)
(1)〖被动收集IP/MAC对应表〗此功能默认启用,且不可撤销 。ARP防火墙通过分析接收到的所有ARP数据包,从而在不发包的情况收集局域网内的IP/MAC对应表,为追踪攻击者做好准备 。
推荐阅读
- 针对ARP病毒攻击防治的进阶经验谈
- 实例讲解如何处理ARP伪装攻击包的问题
- 关机能手”自动关闭电脑发起ARP攻击
- 防火墙是指什么
- 找出“ARP欺骗”木马病毒本质
- 六个步骤即可防范ARP地址欺骗类病毒
- 卡巴优化设置及常见问题解答
- 设置让天网防火墙防止网页病毒
- 深入理解防火墙 屏蔽外界攻击
- 巧设防火墙 封杀特定网址