ARP卫士

页面分类: ARP病毒专杀工具

天下维客，你可以修改的网络知识库

ARP Guard（ARP卫士），通过系统底层核心驱动，无需安装其它任何第三方 软件(如WinPcap)，以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源。无需对计算机进行IP地址及MAC地址绑定，从而避免了大量且无效的工作量。

名词辨析

ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]。ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要ARP协议的。

软件的安装和卸载

• http://arp.enet100.com/download.asp 官方下载。

软件包的组成部分

欢迎您准备使用ARP卫士!您可以通过我们的官方网站 下载并获得最新的安装文件。

下载完成之后，解压缩之后双击打开ARP卫士所在的文件夹，您会看到ARP卫士由服务端程序和客户端程序组成（如下图）：

　　首先您需要运行并安装服务端程序（ServerSetup.exe）

管理端安装环境

服务端支持操作系统有:Windows 2000/XP/2003

安装时请将服务端安装在您局域网中的一台可以连接到Internet的服务器上。(如：游戏服务器、电影服务器、代理服务器、计费服务器等)

管理端安装的注意事项

注意：管理端必须安装在局域网中可持续开机运转的计算机上。

注意：管理端在计算机启动时将自动运行，无论操作系统是否登陆。

注意：管理端所在计算机必须可以连接到互联网，即管理端所在计算机可以"上网"。

管理端的安装步骤

　　运行"ServerSetup.exe"后如下图，同时按照提示说明继续 ：

　　您需要同意"最终用户使用许可协议"方可正常安装该软件。点击 "我同意（I）"或按下快捷键 "ALT ＋ I" 后，如下图：

　　以上项目根据软件使用者的不同需求进行安装，其中"ARPGuard主程序"必须安装，其他项目可选。再点击"下一步（N）"继续:

　　您可以通过"浏览（B）"选择安装文件的目录，推荐使用默认路径；单击"安装（I）"开始安装本程序；

　　整个安装过程将需要数秒后完成，如下图：

　　现在，您可以点击"确定"按钮立即再该台计算机上安装客户端程序，也可以点击"取消"按钮稍后安装客户端程序。

　　客户端程序安装说明请参见：;客户端安装完成后或点击"取消"按钮后将进入安装程序最后阶段，如下图：

　　在这个您可以修改该软件的通信端口，一般情况下不需要修改默认端口，如果和系统中其他程序使用的端口冲突，您可以自定义通讯端口。

　　好了，恭喜您已经成功的安装了"arp卫士"的服务端程序。

管理端使用快速入门

　　第一次运行管理端时会出现用户注册向导，如下图:

　　点击"下一步"进行选择您当前的用户状态：

　　根据不同选择将出现以下的提示：

　　用户注册或用户信息填写完成后，将出现规则配置向导：

　　注意：* 为了保证规则完整，强烈建议您开启所有的计算机和网络设备；

　　* 如果规则不完整，安装arp卫士的客户端将无法和列表中不存在的计算机或网络设备通讯；

　　* 如果该次扫描无法扫描完整，你也可以进入管理端后，继续添加或自动扫描没有添加的主机或网络设备，；

　　* 但您在安装客户端之前必须保证规则完整。

　　点击"下一步"后如下图：

　　注意：* 请确定开始地址和结束地址的正确性。

名词解释：

　　追加并替换现有规则：即在现有的规则列表中追加新的规则，并修改更改IP或网卡的规则。

　　完全生成新的规则：即系统将删除旧的规则，并生成新的规则。

　　点击下一步时，arp卫士将自动扫描所有已开机的计算机，产生IP和MAC对应的列表,即规则列表：

　　以上扫描过程将持续数秒。等待扫描进度条完成100％时，该次扫描将完成，点击"下一步"进行规则扫描的最后配置：

　　请仔细查看说明后，根据您的情况选择配置，点击完成后进入管理端管理界面：

　　（点击看大图）

　　管理端的使用，详见：软件使用详解－管理端使用

　　软件的界面布局及功能详解

管理端界面布局及功能详解

　　（点击看大图）

标题栏

　　服务端标题栏记录软件的当前版本和授权状态

菜单栏

• 防护管理

　　启动保护：

　　启动“ARP卫士”的保护功能，使局域网内所有安装“ARP卫士”客户端的计算机都处于保护状态。

　　停止保护：

　　关闭“ARP卫士”的保护功能，使局域网内所有安装“ARP卫士”客户端的计算机都处于暂停保护状态。

　　更新规则：

　　将最新的规则列表、洪水拦截设置以及流量控制设置向网络内所有“ARP卫士”客户端进行下发。

　　设置客户端卸载口令：

　　此功能是对卸载客户端时所需的口令进行设置。如若不对此功能进行修改，则默认卸载口令为：“arpguard”。

　　设置管理口令：

　　此功能是为防止他人擅自修改管理端而设。管理口令设置成功后，在每次开启管理端主界面时均会要求输入之前 已设置好的管理口令。

　　设置预警关机保护：

　　启用预警保护功能后，当网络内某台计算机的“拦截发送攻击”次数超过限制时，这台计算机的“ARP卫士”客户 端将会按之前所设定好的“重启”或“关机”选项，对这台计算机进行处理（建议将限制次数设置为1000次）。

　　退出：

　　关闭“ARP卫士”管理端主界面。

• 规则管理

　　规则配置向导：

　　规则列表是由局域网内所有的IP地址及其对应的MAC地址所组成。在规则列表中，用户可清晰地看到局域网内所有 计算机的在线状态、保护状态、拦截攻击次数、防御攻击次数。规则配置向导将根据用户的选择自动生成保护规 则。如果用户是第一次运行此向导，为确保规则列表的完整性，建议用户先将局域网内所有的设备全部开启，包 括：所有的服务器、营业用计算机、交换机、代理服务器、路由器等，并使所有设备都处于正常状态。

　　确认局域网内所有的设备已全部开启并处于正常状态后，进入设置网络信息界面。在此界面中，用户必须认真输 入正确的开始地址、结束地址以及网关IP地址。如需对网关IP地址进行修改，只需在“网关IP地址”窗口中单击 鼠标右键即可进行添加或删除设置。

　　追加并替换现有规则列表：将新扫描到的规则添加到现有规则列表中，并自动对现有规则列表进行修改。

　　完全生成新的规则列表：利用此次扫描所获得的最新规则列表来替换之前的规则列表。本操作会将之前的规则列 表进行删除，为保证规则列表的完整性，请在使用本功能前，确保局域网内所有的设备均已开启并处于正常状态 中。

添加规则：

　　向规则列表内添加新的规则。包括新的IP地址，以及所对应的MAC地址。

修改规则：

　　对所选中的规则进行修改(单个ip可以添加多个mac地址)。

删除规则：

　　对所选中的规则进行删除。

• 洪水拦截

　　启用SYN洪水拦截：

　　勾选此功能后，“ARP卫士”将具有针对SYN洪水攻击进行拦截的能力。

　　* 什么是SYN洪水：

　　当一台计算机（A）与另一台计算机（B）进行TCP连接时，会进行一系列的报文交换工作。首先是A向B发送一个 SYN报文，然后B发送一个SYN-ACK包给A作为回应，最后A再发送给B一个ACK包以实现一次完整的TCP连接。这时A和 B就可以互相交换数据了。

　　SYN洪水就是利用在这种连接过程中所产生的一个潜在弊端，即A不向B发送ACK包以作回应。这样就产生了所谓的半开放连接。那么B就会耗费一些CPU及内存资源来对这个连接进行处理，虽然所耗费的资源是受限的，但是攻击者可以通过创建大量的半开放式连接来实现SYN洪水攻击的行为，导致被攻击主机系统资源耗尽死机。

　　启用UDP洪水拦截：

　　勾选此功能后，“ARP卫士”将具有针对UDP洪水攻击进行拦截的能力。

　　* 什么是UDP洪水：

　　UDP洪水攻击就是攻击者通过发送大量的UDP报文给受害者计算机，导致受害者计算机忙于处理这些UDP报文而无 法继续处理其它正常的报文，使网络产生阻塞，导致正常的网络数据无法通过受害者计算机。

　　启用ICMP洪水拦截：

　　勾选此功能后，“ARP卫士”将具有针对ICMP洪水攻击进行拦截的能力。

　　* 什么ICMP洪水：

　　ICMP洪水攻击主要是利用自身的高带宽向受害者发送大量的无用数据以消耗其网络带宽。Pingflood、flushot、 fraggle等都是常用的ICMP攻击工具。通过发送大量的ICMP Echo Reply数据包，受害者的带宽瞬间就会被耗尽， 阻止合法的数据通过网络。

　　洪水拦截设置：

　　通过此项设置，可以对规则列表中出现了SYN洪水攻击、UDP洪水攻击、ICMP洪水攻击的机器进行惩罚。当局域网 内某台计算机所发送的SYN报文、UDP报文、ICMP报文超出此项设置中所规定的上限时，“ARP卫士”客户端将会按 照预设值对其进行相应惩罚。在惩罚时间内，这台计算机将不会再向网络内发送相应报文。但惩罚不会对已建立 的连接产生影响。

　　鼠标右键单击“排除机器列表”窗口即可对其中内容进行修改、编辑。存在于“排除机器列表”中的IP地址将不 会受到洪水攻击的惩罚。

• 流量控制

　　开启访问外网流量控制：

　　勾选此功能后，“ARP卫士”将对受保护计算机的广域网上传及下载流量进行限制。

　　开启局域网内网流量控制：

　　勾选此功能后，“ARP卫士”将对受保护计算机的局域网上传及下载流量进行限制。

　　流量控制设置：

　　通过此项设置，可以对规则列表中的所有计算机进行广域网及局域网的上传及下载流量进行限制（即所谓的网络 限速）。

　　鼠标右键单击“排除机器列表”窗口即可对其中内容进行修改、编辑。存在于“排除机器列表”中的IP地址将不 会受到流量控制的约束。

• 软件购买

　　注册向导：

　　根据此向导的提示进行正确操作，即可完成用户名的注册过程。

　　购买新授权：

　　提高用户的授权级别，增加可保护的计算机数量上限。

　　检查授权信息：

　　检查用户是否已经被正式授权，或通过新授权的验证。

　　修改帐号信息：

　　可对用户的密码、E-mail信箱、联系电话等信息进行修改。

• 软件帮助

　　使用帮助：

　　用户可以通过这个功能直接连接到“ARP卫士”官方网站的帮助页面。

　　关于：

　　在这里可以直观地了解到用户的授权状态、当前用户名、当前授权数量、软件的版本以及我公司的业务联系方式

• 快捷功能图标

　　启动保护：

　　启动“ARP卫士”的保护功能，使局域网内所有安装“ARP卫士”客户端的计算机都处

　　于保护状态。（系统默认开启）

　　停止保护：

　　关闭“ARP卫士”的保护功能，使局域网内所有安装“ARP卫士”客户端的计算机都处

　　于暂停保护状态。

　　自动扫描：

　　通过服务端内置的扫描向导，自动收集开机机器的规则列表（“规则”是指主机的真

　　实ip地址和mac地址）

　　更新规则：

　　将最新的规则列表、洪水拦截设置以及流量控制设置向网络内所有“ARP卫士”客户

　　端进行下发。

　　添加规则：

　　向规则列表内添加新的规则。（包括新的IP地址，以及所对应的MAC地址）

　　删除规则：

　　删除选中的规则

　　修改规则：

　　修改选中的规则

　　退 出：

　　退出服务端前台界面（服务端会在后台继续运行）

规则列表区

　　记录已经扫描的规则列表（规则列表是主机真实的IP地址和MAC地址对应表）和客户端运行状态、保护状态、拦截攻击、防御攻击

　　此图中的共有三条规则，其中第三条规则是有问题的。在线状态显示是“未安装或被破坏”，说明这台机器没有安装arp卫士客户端或者arp卫士客户端不正常

　　手动修改规则列表：

　　在规则列表中找到将要修改的规则，单击鼠标右键，在弹出的菜单中对选择相应的操作来对规则进行修改。用户 也可以利用此项操作对所选计算机进行远程重启或关机。

　　3.1.4 状态栏

　　状态栏分别记录了服务端的运行状态、保护状态、在线客户端数量、主机数量、和规则数量

　　3.2 客户端界面布局及功能详解

客户端日志列表标题

　　编 号：

　　客户端记录的日志序号。

　　接收/发送：

　　客户端记录的非法接收或发送的ARP数据

　　请求/应答：

　　客户端记录ARP协议的动作

　　源 IP：

　　客户端拦截的ARP数据包中的源IP地址（此IP可能不是真实存在的IP，而是ARP欺骗

　　伪装的）

　　源 MAC：

　　客户端拦截的ARP数据包中的源网卡硬件地址（此硬件地址可能不是真实存在的，而

　　是ARP欺骗伪装的）

　　目标 IP：

　　客户端拦截的ARP数据包中的目的IP地址

　　目标 MAC：

　　客户端拦截的ARP数据包中的源网卡硬件地址（此硬件地址如果是00-00-00-00-00-

　　00或FF-FF-FF-FF-FF-FF，说明这就是一个广播）

　　时 间：

　　记录生成的时间

　　数 量：

　　客户端拦截或防御此条记录的次数

　　3.2.2 客户端日志列表

　　此处记录客户端拦截和防御非法arp数据包的日志

　　第一条记录是ARP卫士客户端所在机器发送的ARP应答，欺骗192.168.1.178这台主机，告诉它192.168.1.254(网关)的mac地址是98-BC-CF-09-97-8E，如果192.168.1.178这台主机接受这个应答就会掉线。

　　第二条记录是ARP卫士客户端所在机器发送的ARP应答，欺骗192.168.1.178这台主机，告诉它192.168.1.178的mac地址是5A-01-00-00-C3-03，来实现与目标主机IP冲突导致掉线的目的。

客户端信息栏

　　防御 ARP 攻击 ：ARP客户端防御来自局域网内部其他计算机的非法arp数据包的数量

　　管 理 端 信 息：ARP卫士服务端所在机器的IP以及端口号

　　当前 认证 状态：当前软件是否获得合法的授权认证

　　主机 保护 数量：服务端当前规则列表中的主机数量

　　拦截 ARP 攻击 ：ARP卫士客户端拦截本机发送给其他主机的非法arp数据包的数量

　　拦截 SYN 攻击 ：ARP客户端防御来自局域网内部其他计算机的SYN攻击的数量

　　拦截 UDP 攻击 ：ARP客户端防御来自局域网内部其他计算机的UDP攻击的数量

　　拦截非法IP报文：ARP客户端防御来自局域网内部其他计算机的非法IP报文的数量

　　拦截 ICMP 攻击：ARP客户端防御来自局域网内部其他计算机的非法IMMP攻击的数量

客户端功能栏

　　清 零：

　　将日志信息临时清空，再次开启客户端主界面时，日志信息将会再次出现。如果需要

　　将日志清空，只需将本台计算机进行重启即可。

　　暂停记录：

　　可以使客户端在处于保护状态下，暂停ARP攻击防范日志的记录。当关闭客户端后，

　　记录功能将自动恢复。

　　生成报告：

　　将客户端日志列表中的日志生成文本报告

　　关 闭：

　　关闭客户端前台界面（客户端在后台继续运行）此外客户端功能栏还标注了客户端当前的版本号以及arp卫士官方网站的网址

客户端状态栏

　　客户端状态分为三部分，第一部分是软件当前的运行状态，第二部分是可用的网卡个数，第三部分是当前日志列表中记录的日志个数

常见问题

防御原理

ARP卫士在系统网络的底层安装了一个核心驱动过滤所有的ARP数据包，对每个ARP应答进行判断，只有符合规则的ARP包,才会被进一步处理。这样就实现防御了计算机被欺骗，同时ARP卫士对每一个发送出去的ARP应答都进行检测，只有符合规则的ARP数据包才会被发送出去，这样就实现了对发送攻击的拦截。因为ARP卫士既能拦截接收的应答、又能拦截发送的攻击，所以对于安装了ARP卫士的局域网攻击行为将被完全排除。 同时ARP卫士管理端会时时监测并记录每台客户端的行为，就算某台计算机的客户端被异常停止进而进行了攻击，其行为在服务器端完全可以发现，从而可以快速发现故障点。

"ARP卫士" 3.0后，软件引进了IDS系统(网络入侵检测系统)的完整概念，建立一了整套的安全防护体系，进行多层次、多手段的检测和防护，IDS的主要优势是监听网络流量，不会影响网络的性能，他已从单纯的arp防护上升到对网络的全面保护。

相关知识

相关条目

局域网 - MAC - ARP - 局域网安全 - TCP/IP协议

外部链接

• http://arp.enet100.com/index.asp 官方网站
• http://arp.enet100.com/download.asp 官方下载。
• http://www.skycn.com/soft/29958.html ARP Guard(ARP卫士) V3.3.4.9 天空软件站下载。
• http://www.onlinedown.net/soft/54875.htm ARP卫士 2.3.12.4 华军软件园下载。

http://www.qqread.com/z/network/arp/ 巧巧读书ARP专题