360arp防火墙原理_360arp防火墙主要功能

360arp防火墙原理_360arp防火墙主要功能

       现在，我将着重为大家解答有关360arp防火墙原理的问题，希望我的回答能够给大家带来一些启发。关于360arp防火墙原理的话题，我们开始讨论吧。

1.360显示ARP断网攻击怎么办？

2.ARP攻击的IP源头怎么查找？

3.电脑在两个局域网之间切换，每次换网都会被360拦截说是受到APR攻击，导致无法上网

4.什么是ARP攻击？

5.局域网ARP无法找到病毒源。每台电脑上都装了360ARP 防火墙，怎么解决？

6.局域网防护需要开启吗

360显示ARP断网攻击怎么办？

       ARP病毒也叫ARP地址欺骗类病毒，属于木马类病毒，在发作时会向全网发伪造的ARP数据包，通常会造成网络掉线，内网部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重干扰网线的正常运行，其危害甚至比一些蠕虫病毒还要严重，ARP地址欺骗技术已经成为病毒发展的一个新趋势。 ARP病毒很容易复发，很多朋友在清除病毒后，过一段时间又会反复出现，给日常上网带来了很在的困扰。它之所以会反复发作，主要是由于目前网页木马都是利用微软的MS06-014和 MS07-017这两个漏洞进入系统里面的，如果没有打好这2个补丁，就很容易再次攻击，同时将MAC-IP双向绑定也可以达到免疫ARP病毒的效果。只在做好以下六个安全措施，就可以有效防范这一类病毒：a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。 b.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。 c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。 1、做好IP-MAC地址的绑定工作（即将IP地址与硬件识别地址进行绑定），在交换机和客户端都进行绑定，这是可以使局域网免受ARP病毒侵扰的好办法； 2、全网所有的电脑都打上上面所说的2个补丁，可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。 禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入计算机。禁用Windows系统的自动播放功能的方法是：在运行中输入gpedit.msc，打开组策略，定位到：计算机配置－管理模板－系统－关闭自动播放－已启用－所有驱动器，然后确定即可。（注：如果你的计算机是WindowsXP Home版，那么可以用TweakUI这个软件来办到这件事4、在网络正常时保存好全网的IP-MAC地址对照表，这样在查找ARP中毒电脑时就会很方便了。 5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC是否正确。 6、部署具有全网监控功能的杀毒软件，如KV网络版，定期升级病毒，定期全网杀毒。

ARP攻击的IP源头怎么查找？

       一般是盗号木马造成的

       使用360安全卫士的ARP防火墙确定病毒攻击机器的IP或MAC地址，找到中毒机器后拔掉网线或查杀病毒,

        ARP的攻击主要有以下几种方式

       一.简单的欺骗攻击

       这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.

       二.交换环境的嗅探

       在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.

       三.MAC Flooding

       这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信

       四.基于ARP的DOS

       这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机.

       防护方法:

       1.IP+MAC访问控制.

       单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一.

       2.静态ARP缓存表.

       每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表

       C:\Documents and Settings\cnqing>arp -a

       Interface: 210.31.197.81 on Interface 0x1000003

       Internet Address Physical Address Type

       210.31.197.94 00-03-6b-7f-ed-02 dynamic

       其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC.

       执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表.

       C:\Documents and Settings\cnqing>arp -a

       Interface: 210.31.197.81 on Interface 0x1000003

       Internet Address Physical Address Type

       210.31.197.94 00-03-6b-7f-ed-02 static

       此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.

       3.ARP 高速缓存超时设置

       在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出.

       4.主动查询

       在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率.

电脑在两个局域网之间切换，每次换网都会被360拦截说是受到APR攻击，导致无法上网

       在局域网环境中上网的朋友会经常碰到无故断线的情况，并且检查电脑也检查不出什么原因。其实出现这种情况，大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。感染病毒，电脑一一杀毒，电脑过多的情况下显然很费时费力。现在就告诉你这三招两式，快速找出局域网中的“毒瘤”。

       小提示：?ARP：Address Resolution Protocol的缩写，即地址解析协议。ARP负责将电脑的IP地址转换为对应的物理地址，即网卡的MAC地址。当发生ARP欺骗时，相关主机会收到错误的数据，从而造成断网的情况发生。

       一、查看防火墙日志

       局域网中有电脑感染ARP类型病毒后，一般从防火墙的日志中可以初步判断出感染病毒的主机。

       感染病毒的机器的典型特征便是会不断的发出大量数据包，如果在日志中能看到来自同一IP的大量数据包，多半情况下是这台机器感染病毒了。

       这里以Nokia IP40防火墙为例，进入防火墙管理界面后，查看日志项，在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截，并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址，设置过滤策略时对WEB服务器特意加强保护，所以可以看到这些项目全部是红色标示出来的（图1）。

       图1

       到WEB服务器的数据包被拦截了，那些没有拦截的数据包呢？自然是到达了目的地，而“目的”主机自然会不间断的掉线了。

       由于内网采用的DHCP服务器的方法，所以只知道IP地址还没有用，必须知道对应的MAC地址，才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址，同样可以使用NBBSCAN来得到IP地址（图2）。

       图2

       由此可见，防火墙日志，有些时候还是可以帮上点忙的。

       小提示：如果没有专业的防火墙，那么直接在一台客户机上安装天网防火墙之类的软件产品，同样能够看到类似的提醒。

       二、利用现有工具

       如果觉得上面的方法有点麻烦，且效率低下的话，那么使用专业的ARP检测工具是最容易不过的事了。这里就请出简单易用，但功能一点也不含糊的ARP?防火墙。

       ARP防火墙可以快速的找出局域网中ARP攻击源，并且保护本机与网关之间的通信，保护本机的网络连接，避免因ARP攻击而造成掉线的情况发生。

       软件运行后会自动检测网关IP及MAC地址并自动保护电脑。如果软件自动获取的地址有错误，可单击“停止保护”按钮，填入正确的IP地址后，单击“枚取MAC”按钮，成功获取MAC地址后，单击“自动保护”按钮开始保护电脑。

       当本机接收到ARP欺骗数据包时，软件便会弹出气泡提示，并且指出机器的MAC地址（图3）。

       图3

       单击“停止保护”按钮，选中“欺骗数据详细记录”中的条目，再单击“追捕攻击者”按钮，在弹出的对话框中单击确定按钮。

       软件便开始追捕攻击源，稍等之后，软件会提示追捕到的攻击者的IP地址（图4）。

       图4

       其实大多数时候，不用手工追捕，软件会自动捕获到攻击源的MAC地址及IP地址。

       还等什么？找到那颗“毒瘤”，将其断网，杀毒。局域网总算清静了！

       三、有效防守

       俗话说，进攻才是最好的防守。虽然通过上面的方法可以找到病毒源，并最终解决问题，不过长期有人打电话抱怨“又断线了……”。总是这样擦屁股，似乎不是长久之际，因此有效保护每一台机器不被ARP欺骗攻击才是上策。

       比较有效的方法之一便是在每一台机器上安装ARP防火墙，设置开机自启动，并且在“拦截本机发送的攻击包”项打勾（图5），这样不仅可以保护不受攻击，还可以防止本机已感染病毒的情况下，发送欺骗数据攻击别的机器的情况发生。

       三、有效防守

       俗话说，进攻才是最好的防守。虽然通过上面的方法可以找到病毒源，并最终解决问题，不过长期有人打电话抱怨“又断线了……”。总是这样擦屁股，似乎不是长久之际，因此有效保护每一台机器不被ARP欺骗攻击才是上策。

       比较有效的方法之一便是在每一台机器上安装ARP防火墙，设置开机自启动，并且在“拦截本机发送的攻击包”项打勾（图5），这样不仅可以保护不受攻击，还可以防止本机已感染病毒的情况下，发送欺骗数据攻击别的机器的情况发生。

       图6

       使用这种方法绑定的弱点便是，机器重新启动之后，绑定便会失效，需要重新绑定。因此可将上面的命令行做成一个批处理文件，并将快捷方式拖放到开始菜单的“启动”项目中，这样就可以实现每次开机自动绑定了。

       所谓“道高一尺，魔高一丈”，技术总是在不断更新，病毒也在不断的发展。使用可防御ARP攻击的三层交换机，绑定端口MAC-IP，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击，才是最佳的防范策略。对于经常爆发病毒的网络，可以进行Internet访问控制，限制用户对网络的访问。因为大部分ARP攻击程序网络下载到客户端，如果能够加强用户上网的访问控制，就能很好的阻止这类问题的发生。

什么是ARP攻击？

       1- 建议关闭360卫士的ARP防火墙，即然你切换的两个网络都是正常的，所以关了没有什么影响。它只是帮你的电脑绑定路由器的IP/MAC而已。

       2- 如果不想关闭360卫士的ARP防火墙，可以将电脑设置为自动获取IP地址。

       3- 想想为什么会提示攻击？因为两个路由器的IP地址都是一样的。

       如果可以，你可以将第二个路由器的IP地址调整为另一个网段，这样切换的话，360卫士就不会再提示了。

局域网ARP无法找到病毒源。每台电脑上都装了360ARP 防火墙，怎么解决？

       ARP病毒攻击是局域网最常见的一种攻击方式。由于TCP/IP协议存在的一些漏洞给ARP病毒有进行欺骗攻击的机会，ARP利用TCP/IP协议的漏洞进行欺骗攻击，现已严重影响到人们正常上网和通信安全。当局域网内的计算机遭到ARP的攻击时，它就会持续地向局域网内所有的计算机及网络通信设备发送大量的ARP欺骗数据包，如果不及时处理，便会造成网络通道阻塞、网络设备的承载过重、网络的通讯质量不佳等情况。

       ARP即地址解析协议，是根据IP地址解析物理地址的一个TCP/IP协议。主机将包含目标IP地址信息的ARP请求广播到网络中的所有主机，并接收返回消息，以此确定目标IP地址的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，以便下次请求时直接查询ARP缓存以节约资源。

       在局域网中，主机和主机之间的通讯是通过MAC地址来实现的，而主机的MAC地址是通过ARP协议获取的。ARP负责将网络中的IP地址转换为MAC地址，来保证局域网中的正常通讯。在局域网中实际传输的是“帧”，里面包含目标主机的MAC地址。每个安装以太网和TCP/IP的计算机都有一个ARP缓存表，缓存表里保存的IP地址和MAC地址是相互对应的。ARP协议的基本功能就是执行地址解析，以保证通信的顺利进行。

       ARP欺骗攻击分类

       1、ARP泛洪攻击

       通过向网关发送大量ARP报文，导致网关无法正常响应。首先发送大量的ARP请求报文，然后又发送大量虚假的ARP响应报文，从而造成网关部分的CPU利用率上升难以响应正常服务请求，而且网关还会被错误的ARP表充满导致无法更新维护正常ARP表，消耗网络带宽资源。

       2、ARP欺骗主机的攻击

       ARP欺骗主机的攻击也是ARP众多攻击类型中很常见的一种。攻击者通过ARP欺骗使得局域网内被攻击主机发送给网关的流量信息实际上都发送给攻击者。主机刷新自己的ARP使得在自己的ARP缓存表中对应的MAC为攻击者的MAC，这样一来其他用户要通过网关发送出去的数据流就会发往主机这里，这样就会造成用户的数据外泄。

       3、欺骗网关的攻击

       欺骗网关就是把别的主机发送给网关的数据通过欺骗网关的形式使得这些数据通过网关发送给攻击者。这种攻击目标选择的不是个人主机而是局域网的网关，这样就会攻击者源源不断的获取局域网内其他用户的数据。造成数据的泄露，同时用户电脑中病毒的概率也会提升。

       4、中间人攻击

       中间人攻击是同时欺骗局域网内的主机和网关，局域网中用户的数据和网关的数据会发给同一个攻击者，这样，用户与网关的数据就会泄露。

       5、IP地址冲突攻击

       通过对局域网中的物理主机进行扫描，扫描出局域网中的物理主机的MAC地址，然后根据物理主机的MAC进行攻击，导致局域网内的主机产生IP地址冲突，影响用户的网络正常使用。

局域网防护需要开启吗

       ARP欺骗方式共分为两种：一种是对路由器ARP表的欺骗，该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网；另一种是对内网PC的网关欺骗，仿冒网关的mac地址，发送arp包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。

       针对这种情况瑞星公司提供以下解决办法：

       方法一、在收到ARP欺骗的本机，在开始--运行中，输入“cmd”，进入ms-dos，通过命令行窗口输入“arp

       -a”命令，查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。

       方法二、借助第三方抓包工具（如sniffer或antiarp）查找局域网中发arp包最多的IP地址，也可判断出中病毒计算机。

       造成arp欺骗的病毒，其实是普通的病毒，只要判断出发包源，使用杀毒软件进行清查，是可以彻底解决的。

       问题一：360的局域网防护有必要开启吗 你好很荣幸回答你的问题原创回答拒绝抄袭

        你这个属于典型的ARP欺骗方式的攻击，这个一般是内外网有ARP病毒导致的可能性比较大，一般会有两种欺骗形式：

        一、伪装例如：192。168.1.（2-255）之间的IP不断的伪装不同的IP来攻击导致网速变慢，IP冲突。

        二、伪装成网关IP如：192.168.1.1前一种还好一点，后边的ARP病毒是变异的一种比较难对付。

        不过无论哪一种，你的解决方法有两种：一种是开启360ARP防火墙，但是最佳效果是你所在的内外都开启360ARP防火墙。另一种是在路由里取消DHCP然后在路由里把所有机器的MAC地址绑定，这个也是非常有效的办法之一，因为不是所有内网的机器一定都安装了360，所以这种方法是非常适合你们的。

        开启之后是可以解决问题但要弗部内网机器全都开启才不会有什么影响，网速方面不会变慢，而且还会稳定的多。

        总之祝你成功祝顺利！有问题请追问，有帮助望采纳。

        问题二：个人电脑需要开启局域网防护不? 一般情况下不用， 局域网攻击是比如你在大公司，公司用的局域网，你的电脑有公司机密，偷窃人员通过局域网公司可以窃取你的信息，你的个人电脑不存在局域网漏洞风险，完全放心，根本没必要开。

        如果联网， 建议打开360卫视即可。

        问题三：自己家里的电脑需要开启局域网防护吗? 我是用无线的 还有局域网是什么?开启后和不开启后怎么样 不用开的。局域网就是把一定范围内的电脑通过网络连接起来，这个范围可以是一个办公室、一栋办公楼。你的情况不用开启的，开不开也没什么区别。

        问题四：家庭网络需要打开局域网防护吗？ 打开吧，只怕其中一台会被利用攻击，打开没有什么的

        问题五：需要开启局域网防护和防蹭网吗？ 只要密码不是简单和纯数字 就不用开，破解难度大。

        问题六：局域网防护（ARP）是什么？需要开启吗 局域网防护（ARP）是360一项防护功能，先了解ARP是什么：ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 现象是网关欺骗00-00-00-00-00用户会断网，现象不重的会很卡。360的ARP防护功能，是保护局域网的、如果你是ADSL拨号或者有线用户的话/就不用看起此功能。

        问题七：请问家庭用户需不需要开启360局域网ARP防护呢如果开启会对电脑系统产生影响吗谢谢 你好朋友如果是家庭单台机上网的话是不需要开启360安全卫士木马防火墙里的局域网防护的（arp防护），即使开启也举影响系统运行和上网速度。

        问题八：家庭电脑需要开局域网防护吗 如果只有你自己一家上网，不是局域网的话 没必要开启ARP防火墙 ARP欺骗是对于局域网才有用的 是局域网 也就是你家不光有调制解调器（modem俗称猫） 还有一个路由器 分出好几个线 到别人家 那就得开了 因为那是代理 黑客通过ARP欺骗截获你的信息 欺骗你的路由器把黑客自己的电脑作为服务器 那样很不安全啊 所以 局域网用户一定要开启360的ARP防火墙

        问题九：我用的网线 用不用开启局域网防护？ 有线和无线都在一个局域网中

        问题十：家庭用户（只有一台电脑）需要开启局域网防护吗？ 安装 杀毒软件 清理软件 还是必要的

       今天关于“360arp防火墙原理”的探讨就到这里了。希望大家能够更深入地了解“360arp防火墙原理”，并从我的答案中找到一些灵感。