(2)〖主动收集-手动开始〗点击菜单栏“追踪”按钮后,开始主动发包探测局域网内的IP/MAC对应表 。
(3)〖主动收集-自动开始〗自动开始主动发包探测局域网内的IP/MAC对应表,不需用户干预 。扫一个IP间隔3秒的意思是:每隔3秒发一个包 。扫一圈间隔60分钟的意思是:对局域网的扫描完成之后,休息60分钟,接着才开始再继续扫描一遍 。强烈建议校园网用户不要设置此选项,以避免被网络管理中心误判为中毒机器 。一般情况下,"被动收集"和"主动收集-手动开始"已经足以追查到攻击者IP,如果MAC不是伪造的话 。
3.网关IP/MAC
(1)〖自动获取〗由ARP防火墙自动探测网关的IP和MAC 。如果在ARP防火墙启动之前,本机就已经处于ARP攻击之下,那么ARP防火墙探测到的网关MAC有可能会是虚假的,概率取决于攻击强度,即攻击强度越大,获取到虚假MAC的可能性就越大 。
(2)〖手动设置〗为了解决自动获取MAC可能系伪造的问题,用户可手动设置网关IP/MAC 。网关的正确MAC可咨询网管人员,或通过"arp -a"命令来查询 。注意:如果已经处于ARP攻击之下,通过"arp -a"命令查看到的网关MAC也有可能是伪造的 。
三、防御选项
1.ARP抑制
(1)〖抑制发送ARP〗当本机发送ARP数据包的速度超过阀值时,ARP防火墙会启动拦截程序 。一般情况下,本机发送ARP的速度不应该超过10个/秒 。
(2)〖一并拦截发送的ARP Reply〗如果拦截本机发送的ARP Reply,其它机器将无法获取你的MAC地址,将无法主动与你的机器取得联系,但你的机器可主动与其它机器联系 。
(3)〖安全模式〗只响应来自网关的ARP Request,以降低受到ARP攻击的概率 。
2.洪水(Flood)抑制
洪水攻击即DoS攻击,常见的有TCP SYN Flood、ICMP Flood、UDP Flood等 。DoS数据包与普通数据包无异,唯一判断的标准是它发包的速度 。如果你是个人用户,强烈建议不要启用“抑制发送UDP”和“抑制发送ICMP”的功能,以免影响你的正常使用 。
3.拦截攻击
(1)〖拦截外部ARP攻击〗此功能默认启用且不可撤销,因为撤销之后本机将无法受到保护,安装运行ARP防火墙也就没有意义了 。
(2)〖拦截外部IP冲突攻击〗此功能默认启用且不可撤销
(3)〖拦截本机对外ARP攻击〗如果本机中了ARP病毒,在病毒对局域网进行攻击时,ARP防火墙可以把攻击数据拦截,把攻击扼杀在源头 。
(4)〖拦截本机对外伪造IP攻击〗如果本机中了DoS病毒(带DoS攻击功能的病毒),在病毒伪装成其它IP,对局域网或其它网络进行DoS攻击时,ARP防火墙可以把攻击数据拦截,把攻击扼杀在源头 。
推荐阅读
- 针对ARP病毒攻击防治的进阶经验谈
- 实例讲解如何处理ARP伪装攻击包的问题
- 关机能手”自动关闭电脑发起ARP攻击
- 防火墙是指什么
- 找出“ARP欺骗”木马病毒本质
- 六个步骤即可防范ARP地址欺骗类病毒
- 卡巴优化设置及常见问题解答
- 设置让天网防火墙防止网页病毒
- 深入理解防火墙 屏蔽外界攻击
- 巧设防火墙 封杀特定网址