arp防火墻怎么樣使用
下載了一個彩影防火墻,但不會使用,該怎么辦呢?下面由學習啦小編給你做出詳細的arp防火墻使用方法介紹!希望對你有幫助!
arp防火墻使用方法一:
ARP是Address Resolution Protocal(地址轉換協(xié)議)的簡稱,是TCP/IP協(xié)議中最底層的協(xié)議之一。它的作用是完成IP地址到MAC(物理地址)的轉換。在局域網中兩臺計算機之間的通訊,或者局域網中的計算機將IP數據報轉發(fā)給網關的時候,網卡都需要知道目標計算機的物理地址,以填充物理幀中的目的地址。
現(xiàn)在假設同一以太網中的計算機A(192.168.0.1)需要向計算機B(192.168.0.2)發(fā)送數據報,而此時A尚不知道B的物理地址。為了獲得B的物理地址,A在局域網上發(fā)送ARP廣播,查詢192.168.0.2這個物理地址,同時在ARP包中填入自己的物理地址Ma,相當于發(fā)出這樣的詢問“誰拿了192.168.0.2這個地址?請回Ma這個物理地址。”計算機B在收到了這個查詢以后,以Ma為目的地址發(fā)回一個ARP包,里面包含了自己的物理地址。這樣通訊的雙方都了解了對方的物理地址,通訊過程正式建立。
通常ARP協(xié)議都在支持廣播的網絡上使用,比方以太網,這種數據包不能跨物理網段使用,即不能跨越一個路由器(除路由器本身還用作ARP代理以外)。
在實際的ARP協(xié)議軟件的實現(xiàn)中還有一些應該注意的事項:每臺計算機上都有一個ARP緩沖,它保存了一定數量的從IP地址到MAC地址的映射,同時當一個ARP廣播到來時,雖然這個ARP廣播可能與它無關,但ARP協(xié)議軟件也會把其中的物理地址與IP地址的映射記錄下來,這樣做的好處是能夠減少ARP報在局域網上發(fā)送的次數。同時,ARP緩沖中IP地址與物理地址之間的映射并不是一但生成就永久有效,每一個ARP映射表項都有自己的時延,如果過了一定的時間還沒有新的ARP到來,那么這個ARP映射就從緩沖中被刪除了。那么下一次計算機向這個IP地址發(fā)送數據包的時候必須來一次新的查詢。
本地網絡IP 查找的原理
事實上Windows 本身就用ARP來確定自己的IP地址是否與網絡上的另一臺計算機發(fā)生了沖突。當一個ARP包到來時,Windows 如果檢查到其中的IP地址與本機上的相同,而物理地址不同,這時Windows 就會向用戶報告這個IP地址已經被別人占用。非常有意思的時,Windows 對待IP地址是以先來后到的順序分配,如果已經有人先占了,那么本機的網絡接口就會被禁用。這也是非常惱人的“特色”因為一旦開機后有了第一次沖突,以后的任何網絡操作就都無效了。Windows XP 有了一定的進步,它在發(fā)現(xiàn)沖突以后并不禁用接口,而是允許用戶進行修復。其實用sniffer可以看到所謂的“修復”也不過是發(fā)了幾個ARP包出去,把IP“搶”回來。
在以前的文章中我描述了一個用ICMP 回送請求(類似PING)進行IP查找的程序。這個程序用并發(fā)的幾十個線程同時PING網絡上的多臺計算機,如果回送請求被正確的應答了,那么可以認為這個IP地址已經被占用,如果沒有,我們就宣稱它是空閑的。然而它有優(yōu)點也有缺點,其優(yōu)點是能夠PING很遠的計算機,即使不在同一個物理網段上,缺點是當目標計算機上安裝了防火墻并禁止了ICMP包,或者采用了防ICMP flood 攻擊的規(guī)則以后都有可能讓ICMP回送請求得不到應答。
ARP的優(yōu)點與缺點正好與ICMP相反。它無法跨物理網段進行IP查找,但是由于沒有防火墻禁止ARP包的通過(想想看,如果禁止了ARP包,也就等于不讓人家知道你的物理地址,那么實際上也就是將自己的計算機同網絡斷開了),所以ARP包的IP查找結果一定是非常精準的。
在實現(xiàn)了一個原始的ARP IP查找版本以后,我發(fā)現(xiàn)其結果并不準確,有些已經沒有人使用的IP地址被錯誤的報成有人占用了,難道我的判斷是錯誤的?當然不,這種錯誤的原因是在Windows 的ARP緩沖中。實際上,在發(fā)送一個ARP報文的時候,Windows會首先檢查本機的ARP緩沖,如果發(fā)現(xiàn)了已經有對應的ARP表項,而且還沒有過期的話,Windows 并不會發(fā)送這個報文,而是直接返回給調用者這個ARP表項的內容。這樣一來,假設有計算機中途掉網,而它的ARP表項還沒有過期,那么這個程序仍然能夠得到它的IP到MAC的映射,自然也就會錯誤的宣稱這個IP地址還在使用中了。在運行這個程序前,我使用arp –d(事實上,在看了本文以后,你就可以實現(xiàn)一個這樣的arp程序了)這個命令來刪除緩沖中所有的ARP表項,然后得到的結果就非常準確了。IP Helper API 提供了管理ARP緩沖的過程,所以我修改了這個程序,把arp –d的功能集成到了自己的程序中來。如果看看《使用TCP/IP協(xié)議實際網際互連(第二卷)》你就會明白ARP協(xié)議軟件中的諸多問題。
arp防火墻使用方法二:
網絡沖浪中,難免會遇到一些掃描或者PING等,這些問題完全可以不必擔心。如果樓主用過金山網鏢等軟件,也會經常查看到鏈接某些端口的記錄~有毒的話,建議安全模式可以使用所偏好的殺毒進行查殺!
arp防火墻使用方法三:
首先我不建議你用彩影單機版防火墻來做這個工作,因為他做不到。原因如下彩影防火墻實際就是在客戶端做了一個ARP的單項的綁定,如果是一般的ARP還有一定的效果如果遇到的是ARP欺騙那就沒有任何的效果了,因為網絡中根本就沒有這樣的IP存在弄起來就很煩了。你可以看一下下面的方法解決內網攻擊的問題,保證你可以找到原因,我拿ARP來說。。
看到你的問題我認為是ARP爆發(fā)的可能性比較大,你說的彩影的防火墻攔截這點是沒有多大的實際的效果的。你知道單機的防火墻主要干的活是什么嗎?主要做的就是客戶機綁定網關,如果碰到了二代的ARP彩影的單機防火墻也是沒有任何效果了。你可以看看ARP的最有效的解決辦法是什么:
arp在目前看來可以分為7中之多。
1、arp欺騙(網關、pc)
2、arp攻擊
3、arp殘缺
4、海量arp
5、二代arp(假ip、假mac)
因為二代的arp最難解決,現(xiàn)在我就分析一下二代arp的問題。
現(xiàn)象 ARP出現(xiàn)了新變種,二代ARP攻擊已經具有自動傳播能力,已有的宏文件綁定方式已經被破,網絡有面臨新一輪的掉線和卡滯盜號的影響!
原理 二代ARP主要表現(xiàn)在病毒通過網絡訪問或是主機間的訪問互相傳播。由于病毒已經感染到電腦主機,可以輕而易舉的清除掉客戶機電腦上的ARP靜態(tài)綁定(首先執(zhí)行的是arp -d然后在執(zhí)行的是arp -s ,此時綁定的是一個錯誤的MAC)伴隨著綁定的取消,錯誤的網關IP和MAC的對應并可以順利的寫到客戶機電腦,ARP的攻擊又暢通無阻了。
解決辦法 (1)部分用戶采用的“雙/單項綁定”后,ARP攻擊得到了一定的控制。
面臨問題雙綁和單綁都需要在客戶機上綁定。二代ARP攻擊會清除電腦上的綁定,使得電腦靜態(tài)綁定的方式無效。
(2)部分用戶采用一種叫作“循環(huán)綁定”的辦法,就是每過一段“時間”客戶端自動綁定一個“IP/MAC”。
面臨問題如果我們“循環(huán)綁定”的時間較長(比arp清除的時間長)就是說在“循環(huán)綁定”進行第二次綁定之前就被清除了,這樣對arp的防范仍然無效。如果“循環(huán)綁定”的時間過短(比arp清除時間短)這塊就會暫用更多的系統(tǒng)資源,這樣就是“得不償失”
(3)部分用戶采用一種叫作“arp防護”,就是網關每過一段時間按照一定的“頻率”在內網發(fā)送正確網關“IP/MAC”
面臨問題如果發(fā)送的“頻率”過快(每秒發(fā)送的ARP多)就會嚴重的消耗內網的資源(容易造成內網的堵塞),如果發(fā)送“頻率”太慢(沒有arp協(xié)議攻擊發(fā)出來頻率高)在arp防范上面沒有絲毫的作用。
最徹底的辦法
(4)arp是個“雙頭怪”要想徹底解決必須要“首尾兼顧”有兩種方式可以實現(xiàn)
第一 采用“看守式綁定”的方法,實時監(jiān)控電腦ARP緩存,確保緩存內網關MAC和IP的正確對應。在arp緩存表里會有一個靜態(tài)的綁定,如果受到arp的攻擊,或只要有公網的請求時,這個靜態(tài)的綁定又會自動的跳出,所以并不影響網絡的正確的訪問。這種方式是安全與網卡功能融合的一種表現(xiàn),也叫作“終端抑制”
第二就是在網絡接入架構上要有“安全和網絡功能的融合”就是在接入網關做NAT的時候不是按照傳統(tǒng)路由那樣根據“MAC/IP”映射表來轉發(fā)數據,而是根據他們在NAT表中的MAC來確定(這樣就會是只要數據可以轉發(fā)出去就一定可以回來)就算ARP大規(guī)模的爆發(fā),arp表也混亂了但是并不會給我們的網絡造成任何影響。(不看IP/MAC映射表)這種方法在現(xiàn)有控制ARP中也是最徹底的。也被稱為是“免疫網絡”的重要特征。
目前看只有巡路免疫網絡具備此項特殊功能表現(xiàn)。
可以準確的定位是那一臺機器出了問題,這是一個好的管理工具
看了“arp防火墻怎么樣使用”文章的還看了:
arp防火墻怎么樣使用
上一篇:arp防火墻使用不了怎么辦
下一篇:arp防火墻是什么呢