360木马防火墙arp

       感谢大家参与这个关于360木马防火墙arp的问题集合。作为一个对此领域有一定了解的人，我将以客观和全面的方式回答每个问题，并分享一些相关的研究成果和学术观点。

1.360ARP防火墙是主动防御还是被动防御？

2.局域网中有电脑中了ARP木马，装了360ARP防火墙的电脑是不是只能保证不受病毒的骚扰？

3.360显示ARP断网攻击怎么办？

360ARP防火墙是主动防御还是被动防御？

       360“木马防火墙”是全球第一款专用于抵御木马入侵的防火墙，应用360独创的“亿级云防御”，从防范木马入侵到系统防御查杀，从增强网络防护到加固底层驱动，结合先进的“智能主动防御”，多层次全方位的保护系统安全，每天为3亿360用户拦截木马入侵次数峰值突破1.2亿次，居各类安全软件之首，已经超越一般传统杀毒软件防护能力。 具体增强功能: a：网页防火墙(网盾)+U盘防火墙全面提升拦截能力，在入口点第一时间抓住已知或未知木马。 b：文件感染型木马全面拦截，无论是系统文件或是重要的应用程序，木马防火墙都能拦住针对这些文件的感染型木马。 c：桌面快捷方式的拦截，对付恶意软件或是捆绑木马修改您的桌面快捷方式，或新增一堆有危险的恶意软件图标链接。 d：驱动/MBR拦截的强化，对付恶意驱动和MBR修改的木马。 e：计划任务保护，防止恶意程序使用计划任务自动运行。 双引擎木马查杀 云查杀引擎实时联网查杀已知木马，启发式引擎智能分析查杀未知木马。 新增网络流量监控 查看系统内各软件使用网络上传/下载速度，帮助您找出后台偷偷上传的软件。流量监控使用系统标准的底层智能流量获取技术，不占用带宽资源，不会影响系统性能和网速。 全新痕迹清理 增加注册表等更多清理项目，优化清理速度，减少系统负担，为电脑加速。

局域网中有电脑中了ARP木马，装了360ARP防火墙的电脑是不是只能保证不受病毒的骚扰？

       此方案适用XP

        VISTA

        WIN7

        系统

       问题描述：

       中arp病毒

       原因分析：

       ARP（地址解析协议）是在仅知道主机的IP地址时确定其物理地址的一种协议。当电脑收到ARP数据包时，可以肯定是当前局域网内某台电脑（非本机）利用工具伪造IP地址和MAC地址实现ARP欺骗，这时候应该尽快联系一下网络管理员并且安装ARP防护软件。

       解决方案：

       方案一：使用安全软件检测是否有ARP存在

       1.

       首先开启arp防火墙：打开360安全卫士—木马防火墙。（如图1）

       图1

       2.

       找到局域网防护（ARP），向左拖动选择到已开启。（如图2）

       图2

       3.

       按照提示点击确定即可。（如图3）

       图3

       4.

       如果有攻击的话360就会有提示。（如图4；图5）

       图4

       注：

       目前常用的安全防火墙软件在检测ARP的时候所提示的IP均为路由器的网关，如：192.168.0.1；192.168.0.254

       方案二：安装对应的防火墙软件

       1.

       例如：开启360安全卫士ARP防火墙或者使用其他防火墙，例如：彩影ARP防火墙单机版。（如图6；图7）

       图6

       图7

       2.

       安全完成后运行软件，下电脑上显示一个红色的图标，当发现有外界发起ARP数据包或者有攻击网络的行为，图标会不停的闪动。（如图8；图9）

       图8

       图9

       3.

       已经发现有攻击行为或者在发布ARP广播，并且可以判断攻击原因。（如图10）

       图10

       4.

       软件界面清楚的显示攻击次数和拦截次数并且在右方:这个软件功能比较强大，可以测试到攻击者的IP、MAC、计算机名称等信息。（如图11）

       图11

       5.

       软件上方点击：网络主机例表上面显示的是目前局域网内的所有PC、IP、名称、工作组、MAC等信息。如果有哪台电脑有问题在表里面会显示红色，并且提速为混合模式。（如图12）

       图12

       6.

       软件流量分析上面可以显示目前流量的简单信息，上面介绍过了，ARP是广发的形式并不是单一的那一台电脑，上图广播：22非广播：323在局域网内广播是正常的，广播数一般不是特别大也是没有什么问题的。具体广播含义在此不详解。但是非广播就是不正常的，这个一般就是ARP在整个局域网内发包。综合以上信息，就可以判断是否有ARP，怎么处理。最简单的就是发现发包的PC，直接关闭此计算机即可，或者断开此机器的网络进行杀毒等处理。“ARP防火墙单机版”此软件对于不同的网络和不同的工作环境，测试和检查是非常好用的，但是有时候也是无法判断出具体PC的，软件要么就可以测试出来，要不就是测试的攻击IP为网关，只有正两种情况。

       附：再给大家介绍一个软件，此软件只能检查出发ARP病毒的电脑，无法详细分析，但是对于检查问题原因是有效果的，并且不会出现检查到攻击的是网关的情况。

       “局域网ARP检查”软件如下（绿化版无需安装）。（如图13）

       图13

       1.

       选择本地网卡，然后点击开始分析，软件会测试网络中的所有PC。（如图14；图15）

       图14

       图15

       2.

       软件扫描完成后，不会显所有电脑的信息，只显示网关信息，上网网关提示有危险这是正常的。可能是因为没有安装防火墙的原因。如果网络中没有ARP病毒，或者网络攻击的行为，那么软件显示如上没有什么显示，当有攻击的时候如图16：

       图16

       3.

       软件显示很简单，如果有攻击或者ARP它能准确快速的判断出是那台PC及PC的MAC、IP、状态等。并显示：“正在进行ARP风暴，发出欺骗包”也就是伪装攻击源为网关地址。（如图17）

       图17

       4.

       在软件的目录下面会出现一个TXT的文档。在这个里面记录了局域网内所有的PC编号，MAC和IP地址。

360显示ARP断网攻击怎么办？

       ARP欺骗木马影响严重，只需成功感染一台计算机，就可能导致整个局域网无法上网，严重的甚至导致整个网络瘫痪。

       一、感染ARP欺骗木马现象：

       该病毒主要通过ARP（地址解析协议）欺骗实施攻击和破坏行为，中毒现象表现为以下几点：

       1． 使用校园网时会突然掉线，过一段时间后又恢复正常。

       2． 用户频繁断网，IE浏览器频繁出错。

       3． 一些常用软件出现故障。

       4． 使用身份认证上网的用户，出现能够通过认证，但是无法上网的情况。

       二、检测是否感染ARP欺骗木马方法：

       1． 同时按住键盘上的“Ctrl＋Alt＋Del”键，选择“任务管理器”，选中“进程标签”，查看其中是否有一个名为“MIR0.dat”的进程。如果有，说明已经中毒。右键点击该进程后，选择“结束进程”。

       2． 如果用户发现无法上网，可以通过如下方法验证是否中此木马病毒：

       1）点“开始”－>“运行”，输入cmd，再输入arp －d，回车。

       2）重新尝试上网，如能短暂正常访问，则说明此次断网是受木马病毒影响。

       三、目前有以下几种办法手动解决：

       1． 检查是否存在“MIR0.dat”进程，如有，则结束它。

       2． 清空arp缓存表。点“开始”－>“运行”，输入cmd，再输入arp －d，回车。

       3． 禁用网卡后，然后再次重新启动网卡。

       四、 使用Anti ARP Sniffer软件保护本地计算机正常运行。

       1． 下载：点击下载Anti ARP Sniffer

       2． 使用说明（如图所示）：

       1） 在“网关地址”处，输入本网段的网关地址。

       2） 点击“枚取MAC地址”，自动获取网关MAC地址。

       3） 点击“自动保护”即可。

       ARP病毒也叫ARP地址欺骗类病毒，属于木马类病毒，在发作时会向全网发伪造的ARP数据包，通常会造成网络掉线，内网部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重干扰网线的正常运行，其危害甚至比一些蠕虫病毒还要严重，ARP地址欺骗技术已经成为病毒发展的一个新趋势。 ARP病毒很容易复发，很多朋友在清除病毒后，过一段时间又会反复出现，给日常上网带来了很在的困扰。它之所以会反复发作，主要是由于目前网页木马都是利用微软的MS06-014和 MS07-017这两个漏洞进入系统里面的，如果没有打好这2个补丁，就很容易再次攻击，同时将MAC-IP双向绑定也可以达到免疫ARP病毒的效果。只在做好以下六个安全措施，就可以有效防范这一类病毒：a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。 b.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。 c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。 1、做好IP-MAC地址的绑定工作（即将IP地址与硬件识别地址进行绑定），在交换机和客户端都进行绑定，这是可以使局域网免受ARP病毒侵扰的好办法； 2、全网所有的电脑都打上上面所说的2个补丁，可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。 禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入计算机。禁用Windows系统的自动播放功能的方法是：在运行中输入gpedit.msc，打开组策略，定位到：计算机配置－管理模板－系统－关闭自动播放－已启用－所有驱动器，然后确定即可。（注：如果你的计算机是WindowsXP Home版，那么可以用TweakUI这个软件来办到这件事4、在网络正常时保存好全网的IP-MAC地址对照表，这样在查找ARP中毒电脑时就会很方便了。 5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC是否正确。 6、部署具有全网监控功能的杀毒软件，如KV网络版，定期升级病毒，定期全网杀毒。

       非常高兴能与大家分享这些有关“360木马防火墙arp”的信息。在今天的讨论中，我希望能帮助大家更全面地了解这个主题。感谢大家的参与和聆听，希望这些信息能对大家有所帮助。