arp防火墙怎么样使用(精选3篇)

下载了一个彩影防火墙，但不会使用，该怎么办呢?下面由读文网小编给你做出详细的arp防火墙使用方法介绍!希望对你有帮助!

arp防火墙使用方法1

网络冲浪中，难免会遇到一些扫描或者PING等，这些问题完全可以不必担心。如果楼主用过金山网镖等软件，也会经常查看到链接某些端口的记录~有毒的话，建议安全模式可以使用所偏好的杀毒进行查杀!

arp防火墙使用方法2

ARP是Address Resolution Protocal(地址转换协议)的简称，是TCP/IP协议中最底层的协议之一。它的作用是完成IP地址到MAC(物理地址)的转换。在局域网中两台计算机之间的通讯，或者局域网中的计算机将IP数据报转发给网关的时候，网卡都需要知道目标计算机的物理地址，以填充物理帧中的目的地址。

现在假设同一以太网中的计算机A(192.168.0.1)需要向计算机B(192.168.0.2)发送数据报，而此时A尚不知道B的物理地址。为了获得B的物理地址，A在局域网上发送ARP广播，查询192.168.0.2这个物理地址，同时在ARP包中填入自己的物理地址Ma，相当于发出这样的询问“谁拿了192.168.0.2这个地址?请回Ma这个物理地址。”计算机B在收到了这个查询以后，以Ma为目的地址发回一个ARP包，里面包含了自己的物理地址。这样通讯的双方都了解了对方的物理地址，通讯过程正式建立。

通常ARP协议都在支持广播的网络上使用，比方以太网，这种数据包不能跨物理网段使用，即不能跨越一个路由器(除路由器本身还用作ARP代理以外)。

在实际的ARP协议软件的实现中还有一些应该注意的事项：每台计算机上都有一个ARP缓冲，它保存了一定数量的从IP地址到MAC地址的映射，同时当一个ARP广播到来时，虽然这个ARP广播可能与它无关，但ARP协议软件也会把其中的物理地址与IP地址的映射记录下来，这样做的好处是能够减少ARP报在局域网上发送的次数。同时，ARP缓冲中IP地址与物理地址之间的映射并不是一但生成就永久有效，每一个ARP映射表项都有自己的时延，如果过了一定的时间还没有新的ARP到来，那么这个ARP映射就从缓冲中被删除了。那么下一次计算机向这个IP地址发送数据包的时候必须来一次新的查询。

本地网络IP 查找的原理

事实上Windows 本身就用ARP来确定自己的IP地址是否与网络上的另一台计算机发生了冲突。当一个ARP包到来时，Windows 如果检查到其中的IP地址与本机上的相同，而物理地址不同，这时Windows 就会向用户报告这个IP地址已经被别人占用。非常有意思的时，Windows 对待IP地址是以先来后到的顺序分配，如果已经有人先占了，那么本机的网络接口就会被禁用。这也是非常恼人的“特色”因为一旦开机后有了第一次冲突，以后的任何网络操作就都无效了。Windows XP 有了一定的进步，它在发现冲突以后并不禁用接口，而是允许用户进行修复。其实用sniffer可以看到所谓的“修复”也不过是发了几个ARP包出去，把IP“抢”回来。

在以前的文章中我描述了一个用ICMP 回送请求(类似PING)进行IP查找的程序。这个程序用并发的几十个线程同时PING网络上的多台计算机，如果回送请求被正确的应答了，那么可以认为这个IP地址已经被占用，如果没有，我们就宣称它是空闲的。然而它有优点也有缺点，其优点是能够PING很远的计算机，即使不在同一个物理网段上，缺点是当目标计算机上安装了防火墙并禁止了ICMP包，或者采用了防ICMP flood 攻击的规则以后都有可能让ICMP回送请求得不到应答。

ARP的优点与缺点正好与ICMP相反。它无法跨物理网段进行IP查找，但是由于没有防火墙禁止ARP包的通过(想想看，如果禁止了ARP包，也就等于不让人家知道你的物理地址，那么实际上也就是将自己的计算机同网络断开了)，所以ARP包的IP查找结果一定是非常精准的。

在实现了一个原始的ARP IP查找版本以后，我发现其结果并不准确，有些已经没有人使用的IP地址被错误的报成有人占用了，难道我的判断是错误的?当然不，这种错误的原因是在Windows 的ARP缓冲中。实际上，在发送一个ARP报文的时候，Windows会首先检查本机的ARP缓冲，如果发现了已经有对应的ARP表项，而且还没有过期的话，Windows 并不会发送这个报文，而是直接返回给调用者这个ARP表项的内容。这样一来，假设有计算机中途掉网，而它的ARP表项还没有过期，那么这个程序仍然能够得到它的IP到MAC的映射，自然也就会错误的宣称这个IP地址还在使用中了。在运行这个程序前，我使用arp –d(事实上，在看了本文以后，你就可以实现一个这样的arp程序了)这个命令来删除缓冲中所有的ARP表项，然后得到的结果就非常准确了。IP Helper API 提供了管理ARP缓冲的过程，所以我修改了这个程序，把arp –d的功能集成到了自己的程序中来。如果看看《使用TCP/IP协议实际网际互连(第二卷)》你就会明白ARP协议软件中的诸多问题。

arp防火墙使用方法3

首先我不建议你用彩影单机版防火墙来做这个工作，因为他做不到。原因如下彩影防火墙实际就是在客户端做了一个ARP的单项的绑定，如果是一般的ARP还有一定的效果如果遇到的是ARP欺骗那就没有任何的效果了，因为网络中根本就没有这样的IP存在弄起来就很烦了。你可以看一下下面的方法解决内网攻击的问题，保证你可以找到原因，我拿ARP来说。。

看到你的问题我认为是ARP爆发的可能性比较大，你说的彩影的防火墙拦截这点是没有多大的实际的效果的。你知道单机的防火墙主要干的活是什么吗?主要做的就是客户机绑定网关，如果碰到了二代的ARP彩影的单机防火墙也是没有任何效果了。你可以看看ARP的最有效的解决办法是什么：

arp在目前看来可以分为7中之多。

1、arp欺骗(网关、pc)

2、arp攻击

3、arp残缺

4、海量arp

5、二代arp(假ip、假mac)

因为二代的arp最难解决，现在我就分析一下二代arp的问题。

现象 ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，网络有面临新一轮的掉线和卡滞盗号的影响!

原理 二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定(首先执行的是arp -d然后在执行的是arp -s ，此时绑定的是一个错误的MAC)伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。

解决办法 (1)部分用户采用的“双/单项绑定”后，ARP攻击得到了一定的控制。

面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定，使得电脑静态绑定的方式无效。

(2)部分用户采用一种叫作“循环绑定”的办法，就是每过一段“时间”客户端自动绑定一个“IP/MAC”。

面临问题如果我们“循环绑定”的时间较长(比arp清除的时间长)就是说在“循环绑定”进行第二次绑定之前就被清除了，这样对arp的防范仍然无效。如果“循环绑定”的时间过短(比arp清除时间短)这块就会暂用更多的系统资源，这样就是“得不偿失”

(3)部分用户采用一种叫作“arp防护”，就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”

面临问题如果发送的“频率”过快(每秒发送的ARP多)就会严重的消耗内网的资源(容易造成内网的堵塞)，如果发送“频率”太慢(没有arp协议攻击发出来频率高)在arp防范上面没有丝毫的作用。

最彻底的办法

(4)arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现

第一 采用“看守式绑定”的方法，实时监控电脑ARP缓存，确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定，如果受到arp的攻击，或只要有公网的请求时，这个静态的绑定又会自动的跳出，所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现，也叫作“终端抑制”

第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据，而是根据他们在NAT表中的MAC来确定(这样就会是只要数据可以转发出去就一定可以回来)就算ARP大规模的爆发，arp表也混乱了但是并不会给我们的网络造成任何影响。(不看IP/MAC映射表)这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。

目前看只有巡路免疫网络具备此项特殊功能表现。

可以准确的定位是那一台机器出了问题，这是一个好的管理工具

看了“arp防火墙怎么样使用”文章的还看了：