Cómo rechazar una solicitud ARP desde una IP
La información que recopilé para ti, espero que te sea de utilidad.
Preguntas frecuentes sobre la versión independiente del firewall ARP para v4.1.12007-06-09 09:17 ¿Qué plataformas admite el software de firewall?
R: Actualmente es compatible con Windows 2000/xp/2003, es compatible con Vista (x32) a partir de 4.1beta2 y no es compatible con Windows 98/me/vista (x64).
P: ¿Qué significan los diferentes tipos de datos que muestra el firewall ARP?
R: Actualmente, los tipos de datos que muestra el firewall ARP son los siguientes:
(1) Ataque ARP externo: los datos que se muestran son los ataques ARP de otras personas contra usted (otras personas atacan usted)
(2) Conflicto de IP externo: los datos mostrados son el ataque de conflicto de IP de otra persona contra usted (otras personas lo atacan)
(3) Ataque ARP externo: los datos mostrados es tu ataque contra ti Ataques ARP de otros (tú atacas a otros)
(4) Ataques de IP externos: los datos que se muestran son tus ataques de IP de origen falsificados contra otros, generalmente TCP SYN Flood (tú atacas a otros)
(5) Inundación de IP externa: cuando la velocidad de envío de datos desde su máquina local excede el umbral establecido, el firewall iniciará la interceptación y los datos interceptados se mostrarán aquí.
(6) Modo seguro: en modo seguro, solo responde a las solicitudes ARP de la puerta de enlace. Las solicitudes ARP de otras máquinas serán interceptadas y los datos interceptados se muestran aquí.
(7) Suprimir el envío de ARP: cuando la velocidad de su máquina que envía ARP supera el umbral establecido, el firewall iniciará la interceptación y los datos interceptados se mostrarán aquí.
(8) Analizar ARP recibido: muestra todos los paquetes ARP recibidos por esta máquina para analizar las condiciones de la red. Los datos que se muestran aquí son solo para que administradores de red experimentados analicen si hay atacantes potenciales o máquinas envenenadas en la red, y no están necesariamente relacionados con si existe un ataque ARP. Si no es administrador de red y su red es normal ahora, puede ignorar por completo los datos que se muestran aquí.
P: ¿Cómo puedo saber si he sido infectado por ARP (virus)?
R: Sólo si el firewall ARP muestra "ataque ARP externo" puede significar que ha sido infectado por el virus ARP (o que está utilizando software de ataque).
P: En "Analizar ARP recibido", algunas máquinas envían una cantidad particularmente grande de datos ARP. ¿Qué debo hacer?
R: Si eres administrador de red, instala un firewall ARP en la máquina que envía una gran cantidad de datos. Si no es administrador de red, le sugiero que informe esta situación al administrador de red o deje de preocuparse por ello: D
P: El firewall ARP le indica que se ha interceptado un "ataque ARP externo". . ¿Qué tengo que hacer?
R: Si su red se ve afectada, se recomienda configurar la defensa activa para que siempre se ejecute. Si la situación no mejora, aumente gradualmente la velocidad de la defensa. Puede informar la situación al administrador de la red y pedirle que elimine la fuente del ataque.
P: ¿Por qué hay muchos paquetes de "respuesta sin transmisión" desde la puerta de enlace en "Analizar ARP recibido"?
R: Después de que la defensa activa envía un paquete ARP a la puerta de enlace, la puerta de enlace responderá con un paquete de respuesta ARP. El firewall enviará paquetes de defensa activa a la puerta de enlace en dos situaciones:
(1) Cuando la defensa activa está configurada en "Siempre en ejecución"
(2) Cuando la defensa activa está configurada en "alerta", cuando se detecte un ataque, cambie a "Alerta - Iniciar defensa"
P: ¿Por qué se informa "WINDOWS\System32\svchost.exe" como ataque externo después de la conexión ADSL?
R: Lo sentimos, esto es un falso positivo, solucionaremos este problema en la próxima versión.
La forma de este falso positivo es: "Ataque IP externo", el tipo es "protocolo ip no: 139" o "protocolo ip no: 2" (v4.1 solo tiene este problema)
P: ¿Qué es la supresión de inundaciones?
R: Un ataque de inundación es un ataque DoS, que a menudo se denomina ataque de denegación de servicio. La función de supresión de inundaciones del firewall ARP puede comenzar a interceptar el tráfico de datos (TCP SYN/UDP/ICMP) cuando alcanza el umbral según el umbral que usted establezca. Los paquetes de datos utilizados para los ataques de denegación de servicio (ataques DoS) no se diferencian mucho de los paquetes de datos normales. La velocidad de envío de los paquetes es casi el único criterio. Algunas aplicaciones pueden causar mucho tráfico (como PPLive, Emule, BT, etc.) Si el umbral de supresión de inundaciones no se establece adecuadamente, puede afectar su uso normal. Si no está familiarizado con los ataques de inundación (ataques DoS), se recomienda encarecidamente no habilitar la función de "supresión de inundaciones" para evitar afectar su uso normal.
P: ¿Cuál es el papel de la supresión de inundaciones?
R: La importancia para una sola máquina: evitar que el virus en la máquina se convierta en la fuente de ataques DoS. Interceptar los datos de ataques DoS externos de esta máquina puede reducir el tráfico de red de esta máquina, garantizar el flujo fluido de la red, descubrir el virus DoS de esta máquina y evitar posibles problemas.
Importancia para la LAN: si todos los cortafuegos ARP con función de supresión de inundaciones se implementan en la LAN, se pueden proteger las máquinas de la LAN para que no se vean afectadas por ataques DoS, eliminar los ataques DoS en el origen y garantizar un flujo fluido. de la red LAN!
P: Después de instalar v4.1, ¿por qué me siento atascado cuando juego (o ejecuto otros programas)?
R: Si se siente atascado, verifique si el firewall ARP informa "inundación de IP externa". Si es así, es porque el umbral DoS (ataque de inundación) que estableció es demasiado bajo para aplicaciones normales. motivado. Si no está familiarizado con los ataques de inundación (ataques DoS), se recomienda encarecidamente no habilitar la función "supresión de inundaciones" para evitar afectar su uso normal.
P: ¿Qué es mejor, la versión independiente o la versión online?
R: Los códigos principales de la versión independiente y la versión de red son los mismos. La versión independiente es adecuada para proteger una sola máquina y la versión de red es adecuada para proteger toda la red. .
P: Para proteger una red, ¿debo elegir la versión independiente o la versión de red?
R: Para proteger una red, existen dos métodos opcionales.
(1) Implementar una versión independiente. Ventajas: (Actualmente) Gratis Desventajas: No existe una función de administración unificada y el estado de todos los clientes no se puede comprender a tiempo. La versión independiente tiene una fecha de vencimiento y todos deben reinstalarse o actualizarse después de la fecha de vencimiento.
(2) Implementar la versión en línea. Ventajas: Tiene una función de gestión unificada y puede captar la situación de toda la red de manera oportuna. No hay límite de vencimiento durante el período de validez de la versión oficial de KEY. Desventajas (?): Es necesario pagar una pequeña tarifa de registro.
Recuerde: ya sea una versión independiente o una versión de red, si necesita proteger toda la red, debe implementarla toda para lograrlo. los mejores resultados.
P: ¿El firewall ARP admite sistemas sin disco?
R: Porque al instalar el firewall ARP, necesita instalar el controlador NDIS. Durante este proceso, la red se interrumpirá durante unos segundos, por lo que no se admite la instalación directa en el cliente sin disco. Instálelo desde el disco maestro.
P: ¿Por qué después de instalar un firewall ARP en una máquina utilizada como proxy para disfrutar del acceso a Internet, las siguientes máquinas no pueden acceder a Internet?
R: Cuando el proxy *** disfruta de acceso a Internet, la máquina modificará los datos entrantes y salientes (principio NAT). Esto entra en conflicto con algunas funciones del firewall ARP. El firewall ARP considerará esto. ser un ataque externo. Si se encuentra con esta situación, cancele "Bloquear los ataques ARP externos de esta máquina" y "Bloquear los ataques IP falsificados externos de esta máquina" en la configuración del software.
P: ¿Es efectivo instalar el "parche ARP" de Microsoft?
R: En el sistema Windows 2000, vincular IP y MAC mediante el comando arp -s no es válido. El "parche ARP" de Microsoft resuelve este problema. Esto no significa que después de instalar el "parche ARP", ya no habrá problemas de ARP. Distinga claramente.
P: Después de instalar el software, ¿por qué 360 Security Guard detectó el malware "WebHop Malware-Dangerous-C:\WINDOWS\system32\drivers\oreans32.sys"?
R : El programa de cifrado de software utilizado por el software Caiying es Themida y oreans32.sys es parte de Themida. Esta es una falsa alarma de 360 Guardias. El software Caiying nunca incluirá malware y ha enviado información relevante a 360 Security Guard. 360 Security Guard resolvió este problema en la última versión de la base de datos de firmas de malware.
P: ¿Por qué algunos programas antivirus (como AVG Anti-spyware) informan "snetcfg.exe" en el directorio de instalación del firewall como una puerta trasera?
R: snetcfg.exe es una herramienta proporcionada por Microsoft para instalar controladores. El controlador del firewall ARP se instala a través de snetcfg.exe. Esto es puramente una falsa alarma del software antivirus, no dude en utilizarlo. Puede eliminar el programa snetcfg.exe sin afectar el uso normal del firewall ARP. Resolveremos este problema de falsos positivos en la próxima versión.
P: ¿Qué son transmisiones, no transmisiones, solicitudes y respuestas, y para qué se utilizan?
R: (1) Transmisión: todas las máquinas en la LAN pueden recibirla
(2) Sin transmisión: solo su máquina puede recibirla
( 3) Solicitud: es un paquete de solicitud ARP que solicita obtener la dirección MAC de una determinada IP
(4) Respuesta: es un paquete de respuesta ARP que anuncia la dirección MAC de una determinada IP
Supongamos que la IP de su máquina es 192.168.0.2. Cuando su máquina quiera comunicarse con 192.168.0.1, primero verificará si hay una dirección MAC de 192.168.0.1 en la tabla de caché ARP de esta máquina. entonces, podrán comunicarse directamente. De lo contrario, su máquina enviará un paquete ARP "broadcast-Reques" (este paquete puede ser recibido por todas las máquinas en la LAN) y preguntará "¿Cuál es la dirección MAC de 192.168.0.1? Dígame rápidamente", 192.168.0.1 Después Al recibir este paquete de transmisión, responderá un paquete ARP de "respuesta sin transmisión" a su máquina, diciéndole "Oye, mi MAC es xx-xx-xx-xx-xx-xx". De esta manera, después de que su máquina obtenga la dirección MAC 192.168.0.1, podrá comunicarse normalmente. El proceso anterior es el proceso de trabajo del protocolo ARP, por lo que el protocolo ARP es la piedra angular de la comunicación LAN. En términos generales, los difundidos son paquetes de Solicitud y los no difundidos son paquetes de Respuesta.
P: ¿Cuál es la función de la nueva función "defensa activa" en la versión 4.0beta4?
R: El software de ataque ARP generalmente envía dos tipos de paquetes de ataque:
(1) Envía paquetes ARP falsos a la máquina local. Este tipo de paquete de ataque puede ser interceptado por el firewall ARP 100 veces.
(2) Enviar paquetes ARP falsos a la puerta de enlace. Debido a que la máquina de puerta de enlace generalmente no está bajo nuestro control, no podemos interceptar dichos paquetes de ataque. La función de la "defensa activa" es "decirle" a la puerta de enlace cuál debe ser la dirección MAC correcta de esta máquina e ignorar las direcciones MAC falsas.
P: ¿Qué significan las tres configuraciones diferentes de "defensa activa"?
R: La defensa activa admite tres modos.
(1) Desactivar. La dirección MAC correcta de la máquina no se envía a la puerta de enlace bajo ninguna circunstancia.
(2) Alerta. Normalmente, la dirección MAC correcta de la máquina no se envía a la puerta de enlace. Cuando se detecta que la máquina está bajo un ataque ARP, comienza a enviar la dirección MAC correcta de la máquina a la puerta de enlace para garantizar que la red no se interrumpa.
(3) Siempre corre. Envíe siempre la dirección MAC correcta de la máquina a la puerta de enlace. Si el atacante solo envía datos de ataque a la puerta de enlace y no a la máquina local, entonces si la defensa activa está en estado de "alerta", no hay garantía de que la red no se interrumpa. La función de defensa activa "siempre en funcionamiento". puede hacer frente a esta situación. Cuando la defensa activa está configurada para ejecutarse siempre, la máquina continuará enviando paquetes ARP a la puerta de enlace y la puerta de enlace responderá a la máquina con paquetes ARP después de recibirlos. Por lo tanto, cuando la defensa activa está configurada para ejecutarse siempre, es normal que haya una gran cantidad de paquetes ARP de la puerta de enlace en el paquete "Analizar ARP recibido".
P: ¿Cuál es la configuración de velocidad adecuada para la “defensa activa”?
R: La configuración predeterminada de la función de defensa activa es: estado de alerta, velocidad de envío de paquetes 10 paquetes/s. Después de pruebas exhaustivas realizadas por Caiying Software, puede lidiar con la mayoría del software de ataque ARP del mercado cuando la velocidad de defensa es de 10 paquetes/s. Al enviar la MAC correcta a la puerta de enlace, se enviarán dos tipos de paquetes de datos cada vez. El tamaño de cada paquete de datos es de 42 bytes (Bytes), por lo que cuando la velocidad es 10, el tráfico de la red es: 10*2*42=840Bytes. , Eso es menos de 1 KBytes/s. De la misma forma, se puede calcular que cuando la velocidad de defensa es 100, el tráfico de red es <10KBytes/s. La velocidad de defensa admite personalización, con un mínimo de 1 y un máximo de 100 (v4.0.1 se ajusta a un máximo de 200. Los usuarios pueden ajustarlo según sus propias condiciones de red).
P: ¿Por qué el firewall ARP no detecta el ataque, pero aun así me desconecto?
R: Hay varias razones:
(1) Puede ser que el atacante solo envió paquetes de ataque ARP a la puerta de enlace, por lo que el firewall ARP no detectó el ataque. Solución: se recomienda que los usuarios configuren la función "Defensa activa" en "Ejecutar siempre" y aumenten gradualmente la velocidad de la defensa según las condiciones de la red. Por ejemplo: si la velocidad es 10 y la red todavía es un poco intermitente, ajústela a 20. Si 20 no es suficiente, ajústela a 30.
(2) Antes de que se inicie el firewall ARP, la máquina ya está bajo ataque y la dirección MAC de la puerta de enlace obtenida automáticamente por el firewall ARP es falsa. Solución: Consulte al administrador de red para obtener la MAC correcta de la puerta de enlace y luego configure manualmente la IP/MAC de la puerta de enlace en el firewall ARP.
(3) Si los dos métodos anteriores no son factibles, entonces se estima que la causa de la desconexión no tiene nada que ver con el ataque ARP. Después de todo, hay muchas razones para la desconexión, como por ejemplo. como: problemas de hardware, problemas de línea, problemas de aplicación, problemas con el programa (como el juego), etc.
P: La defensa activa se ha configurado en "siempre en ejecución", ¿por qué sigue sin conexión?
R: Puede haber razones,
(1) Hay muchas razones para la desconexión, el problema de ARP es solo uno de los más comunes, es posible que la desconexión no sea causado por un problema de ARP
p>
(2) Si el atacante ataca la puerta de enlace más rápido que la velocidad de su defensa, la desconexión es inevitable y la red puede ser intermitente. La solución completa es eliminar la fuente del ataque. Si no puedes eliminar la fuente del ataque, solo puedes aumentar la velocidad de defensa al máximo. Si la velocidad de defensa está configurada al máximo y la red sigue siendo intermitente, instalar cualquier software localmente no le ayudará en esta situación extrema.
P: El firewall ARP que instalé debe hacer clic en el botón de seguimiento antes de poder acceder a Internet. Una vez que se detiene el seguimiento, ya no puedo acceder a Internet.
R. : La puerta de enlace está bajo ataque y se obtuvo la puerta de enlace. Su MAC local es incorrecta.
Después de hacer clic en "Seguimiento", el firewall ARP realizará un análisis MAC de los paquetes salientes. Durante el proceso de seguimiento, la puerta de enlace puede volver a obtener la dirección MAC correcta de su máquina, para que la red pueda estar conectada por un tiempo. Después de que se detiene el seguimiento, la puerta de enlace es atacada nuevamente y su MAC se obtiene incorrectamente, por lo que su red se desconecta nuevamente. En este caso, simplemente configure la defensa activa en "siempre habilitada". La defensa activa puede continuar notificando a la puerta de enlace la MAC correcta de su máquina.
P: Puedo acceder a Internet cambiando mi dirección IP, pero no puedo acceder a Internet sin cambiarla. ¿Por qué?
R: La puerta de enlace está siendo atacada y la MAC de su máquina obtenida por la puerta de enlace es incorrecta. En este caso, simplemente configure la defensa activa en "siempre habilitada". La defensa activa puede continuar notificando a la puerta de enlace la MAC correcta de su máquina.
P: He vinculado la IP/MAC de la puerta de enlace a esta máquina (suponiendo que la IP/MAC de la puerta de enlace sea correcta), ¿por qué no puedo conectarme?
R: Hay dos condiciones para garantizar una red fluida.
(1) En su computadora local, la MAC de la puerta de enlace es correcta.
(2) Encendido. la puerta de enlace, su La MAC de esta máquina es correcta
Aunque ha vinculado la IP/MAC de la puerta de enlace en su máquina, no puede garantizar que la dirección MAC de su máquina obtenida por la puerta de enlace sea correcta. Si se encuentra con esta situación, simplemente configure la defensa activa para que siempre se ejecute. La función de la defensa activa es notificar a la puerta de enlace la dirección MAC correcta de su máquina.
P: ¿Qué debo hacer si mi velocidad de Internet está restringida?
R: Hay muchas formas de limitar la velocidad de la red y la suplantación de ARP es una forma popular. Si el límite de velocidad se logra mediante la suplantación de ARP, la configuración predeterminada del firewall ARP puede ayudarlo a eliminar el límite. Si el efecto no es muy bueno, se recomienda configurar la defensa activa en "siempre en funcionamiento". Si esto aún no funciona, entonces puede concluir que el límite de velocidad no se logra mediante la suplantación de ARP. En este caso, lo siento, el firewall ARP no puede ayudarlo (y ningún software puede ayudarlo, porque sí). en principio no se puede eludir).
P: ¿Cuál es la función del modo seguro? ¿Hay alguna consecuencia adversa por habilitarlo?
R: La función del modo seguro es responder únicamente a las solicitudes ARP desde la puerta de enlace, es decir, a excepción de la puerta de enlace, otras máquinas no pueden obtener su dirección MAC a través de los canales normales. Nota: Esto no significa que otras máquinas no puedan obtener su MAC, simplemente lo hace más difícil. Por lo tanto, el efecto del modo seguro es sólo reducir la posibilidad de ser atacado, pero no eliminarlo por completo. Ventajas del modo seguro: aumenta la dificultad para que los atacantes obtengan su dirección MAC y reduce la posibilidad de ser atacado. Desventajas del modo seguro: otras máquinas en la LAN no pueden contactarlo activamente. En circunstancias normales, habilitar el modo seguro no afectará el uso normal de su máquina.
P: Si la MAC del atacante es falsificada, ¿hay alguna manera de descubrir quién es el atacante?
R: Si su conmutador tiene función de administración de red, puede encontrarlo.
Supongamos que la dirección MAC falsificada del atacante es AA-AA-AA-AA-AA-AA. El método es el siguiente:
(1) Inicie sesión en el conmutador central y consulte el origen de la MAC falsa. a través del siguiente comando
#sh mac-address-table dirección dinámica aaaa.aaaa.aaaa
La salida del comando es similar a la siguiente:
Dirección Mac Tabla
----- -------------------------------------
Vlan Tipo de dirección Mac Puertos
---- ----------- -------- -----
7 0010.db58.3480 DINÁMICO Po1
7 aaaa.aaaa.aaaa DINÁMICO Gi1/0/11 lt; ) Utilice el siguiente comando para consultar la conexión del host Gi1/0/11 o dispositivo de red
#show cdp neighbours
Si Gi1/0/11 está conectado a un conmutador, inicie sesión en el interruptor y repita las operaciones anteriores. Si el host está conectado, entonces este host es el atacante.
P: ¿Por qué se muestran los mismos datos dos veces? Por ejemplo:
R: Debido a que el ancho de la interfaz es limitado, solo se muestra la información más importante. Parece que las dos filas de datos son iguales, pero de hecho algunos de los datos que contienen son diferentes, por lo que se muestran por separado. Nota: A partir de 4.1beta1, este problema se resolvió.
P: ¿Por qué el firewall siempre indica "Se ha detectado que la dirección mac de la puerta de enlace en la tabla de caché arp ha sido modificada y reparada? Puede que esté infectada con un virus o haya sido atacado antes de que se inicie el firewall arp."?
R: Este mensaje aparecerá en dos situaciones
(1) La máquina está infectada con un virus u otro malware que ha alterado la información de la puerta de enlace en la tabla de caché ARP de la máquina. dirección MAC
(2) El método del firewall para obtener la MAC de la puerta de enlace está configurado en automático y ya está bajo ataque antes de que se inicie el firewall.
(3) Cuando el estado de la tarjeta de red cambia (como conectar y desconectar el cable de red, obtener una dirección IP a través de DHCP y deshabilitar y volver a habilitar la tarjeta de red), el programa puede generar falsas alarmas. A partir de la versión 4.1beta1, este problema de falso positivo se ha solucionado.
Nota: El cortafuegos ARP puede detectar la manipulación de la MAC de la puerta de enlace en la caché ARP local y repararla, pero no puede evitar que se vuelvan a manipular virus o malware. Si esto sucede, verifique si hay virus.
P: ¿La versión independiente del firewall ARP es gratuita? ¿Por qué la configuración tiene una fecha de vencimiento?
R: Actualmente es una prueba gratuita. Continuaremos actualizando y mejorando el firewall ARP Para permitir que los usuarios descarguen, instalen y utilicen la última versión de manera oportuna, la versión actual tiene una fecha de vencimiento. Descargue la nueva versión en ese momento.
P: Después de que el virus cambia la hora del sistema, el firewall ARP no se puede utilizar normalmente. ¿Qué debo hacer?
R: (1) La versión en línea v3.1 en desarrollo eliminará el límite de tiempo en el cliente
(2) La versión independiente v4.2 en desarrollo introducirá La función "prohibida" Modificar la hora del sistema " evitará que los virus modifiquen la hora del sistema y localizará los procesos de virus que intenten modificar la hora del sistema.
P: ¿Por qué el software indica "La versión ha caducado" cuando la fecha de caducidad del software aún no ha llegado?
R: Porque ha cambiado la hora del sistema antes o mientras se ejecuta el software. Cambiar arbitrariamente la hora del sistema puede provocar que el software se ejecute de forma anormal.
Si esto sucede, se recomienda solucionarlo de la siguiente manera:
(1) Desinstalar el software firewall
(2) Establecer la hora del sistema en la hora correcta
( 3) Reinstale el software de firewall
Si por alguna razón, realmente necesita modificar temporalmente la hora del sistema para realizar algunas pruebas, se recomienda que
(1) No lo modifique mientras el software de firewall esté ejecutándose.
(2) Antes de ejecutar el software de firewall, asegúrese de que la hora del sistema sea correcta.
P: ¿Por qué la IP del atacante se muestra como Desconocida?
R: Hay varias posibilidades cuando la IP del atacante se muestra como Desconocida:
(1) La función "recopilar IP/MAC activamente" no está habilitada Solución: haga clic en " ". Botón "Seguimiento"
(2) Si después de completar el "Seguimiento" o en el estado "Recopilación activa-Inicio automático", todavía se muestra como desconocido, entonces la dirección MAC del atacante puede ser falsificada y el La dirección IP correspondiente no se puede rastrear.
(3) Hay un ERROR en v4.0.1. En algunos casos, incluso si la dirección MAC existe, es posible que no se pueda rastrear la dirección IP del atacante. v4.0.2 ha resuelto este problema.
P: Olvidé la contraseña de protección del firewall ARP, ¿qué debo hacer?
R: Hay varias formas:
(1) Ingrese a la interfaz de configuración del software y borre la contraseña previamente establecida.
(2) Si no puede ingresar la interfaz de configuración del software, elimine el archivo aas.ini en el directorio de instalación del firewall ARP y luego vuelva a ejecutar el software.
P: Después de desmarcar "Bloquear ataques externos locales", ¿por qué no se muestra la IP/MAC local? (Este problema sólo existe en v4.0.1)
R: Esto es un ERROR en el programa. Este ERROR no afecta el efecto de defensa del firewall, pero no se puede mostrar la IP/MAC local, así que no dude en utilizarlo. v4.0.2 ha resuelto este problema.
P: ¿Necesito desinstalar la versión anterior antes de instalar la nueva versión? ¿Puede la nueva versión sobrescribir la versión anterior?
R: Es necesario desinstalar la versión anterior antes de instalar la nueva versión y la instalación no se puede sobrescribir.
P: ¿Cómo desinstalar el software?
R: Puede elegir uno de los siguientes métodos
(1) Ingrese al "Panel de control; Agregar o quitar programas"
(2) Ejecute el programa de instalación, le mostrará tres opciones: Modificar/Reparar/Eliminar, seleccione eliminar para desinstalar.
(3) 4.0.2 agrega un nuevo menú "Desinstalar" en la barra de menú de inicio
P: ¿Cómo desinstalar el firewall ARP manualmente?
R: Siga los siguientes métodos:
(1) Apague el firewall ARP
(2) Abra la interfaz de propiedades de la tarjeta de red y ubique los dos controladores. con AntiARP, haga clic en Desinstalar
(3) Abra el registro, busque "AntiARP" y elimine todas las entradas encontradas.
(4) Eliminar archivos
P: La configuración del software se ha configurado para que se inicie automáticamente al arrancar, pero ¿por qué no funciona?
R: Compruebe si la ruta indicada por la clave AntiARPStandalone en el registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run es correcta. Si es incorrecto, elimine AntiARPStandalone y el valor de clave correcto se escribirá automáticamente cuando vuelva a ejecutar el firewall. (O ingrese el valor clave correcto manualmente)
Nota 1: 4.0.2 resolvió este problema y esta situación no debería volver a ocurrir.
Nota 2: El sistema Vista no admite la función de "ejecución automática".
P: Hay procesos en el administrador de tareas, pero no se muestra ninguna interfaz. ¿Qué debo hacer?
R: Varios usuarios han informado de este problema, pero aún no se puede confirmar la causa. Si esto sucede, pruebe el siguiente método:
1. Ingrese al directorio de instalación del programa, abra el archivo Config.ini y cambie las siguientes entradas por las siguientes:
AutoRun= 0
AutoMin=0
AutoProtect=0
2. Reinicie la máquina
P: ¿Por qué el firewall ARP muestra caracteres confusos?
R: Porque tu máquina no tiene el idioma configurado correctamente. Puede consultar los siguientes métodos para resolver el problema (gracias al internauta lzawindows por proporcionarlo):
(1) Ingrese al panel de control gt "Opciones regionales y de idioma"
(2) Determine que se han seleccionado e instalado los archivos de instalación de la página de idiomas para idiomas de Asia oriental
(3) Seleccione "Chino (PRC)" en el cuadro "Estándares y formatos" en la página Opciones regionales y seleccione China en "Ubicación"
(4) Seleccione "Chino (PRC)" en Idioma para programas que no sean Unicode en la página Avanzado y reinicie la computadora.
P: ¿Por qué se interrumpe la red durante el proceso de instalación del software?
R: La versión independiente del firewall ARP v4.0 se basa en el controlador para interceptar los datos del ataque ARP. El controlador debe instalarse durante el proceso de instalación del software. En este momento, la red estará activa. interrumpido durante unos segundos. Esto es normal, úselo con confianza.
P: ¿Por qué el software informa un ataque al cambiar la dirección IP local?
R: Para reducir el uso de recursos, el firewall ARP lee la configuración de la dirección IP de la tarjeta de red cada 5 segundos. Al cambiar la dirección IP de la máquina, el sistema operativo transmitirá la nueva dirección IP y MAC a la red. En este momento, si el firewall no ha obtenido la nueva dirección IP de la tarjeta de red, se enviará el paquete de transmisión ARP anterior. interceptado y reportado como la dirección IP de la máquina Atacando hacia afuera. Una vez interceptado el paquete de transmisión ARP anterior, no causará ningún problema en el uso normal de la red local. Nota: A partir de 4.1beta1, este problema se resolvió.
P: ¿El firewall admite la ejecución como usuario normal?
R: Compatible a partir de v4.1beta1, las versiones anteriores no lo admiten.
P: ¿Existe una versión ecológica (no requiere instalación)?
R: El firewall ARP necesita cooperar con el controlador para interceptar datos maliciosos, por lo que el controlador debe instalarse a través del programa de instalación. No existe una versión verde.
P: ¿Por qué el firewall ARP también intercepta paquetes de ataques externos? ¿Se puede desactivar la interceptación?
R: Si la máquina está infectada con virus ARP, estos virus enviarán una gran cantidad de datos de ataque al exterior, lo que puede causar problemas innecesarios a los usuarios, por lo que el firewall ARP bloqueará los ataques externos de forma predeterminada. . A partir de v4.0.1, la interceptación de ataques externos se admite como configurable.
P: Después de ejecutar el firewall ARP, ¿por qué todavía puedo ver otros hosts usando el comando "arp -a"?
R: El firewall ARP no intercepta todos los paquetes ARP, solo intercepta paquetes ARP falsos. Por lo tanto, no garantiza que no pueda ver otros hosts usando el comando "arp -a", pero sí garantiza que la MAC de la puerta de enlace sea correcta.
Por otro lado, si no puede ver ningún host usando el comando "arp -a", entonces su máquina está "desconectada" (o no tiene comunicación con todas las máquinas en la LAN).