XArp(ARP欺騙檢測(cè)器)是一款國(guó)外的ARP防火墻軟件,軟件能夠幫助用戶建立專門的ARP防火墻,從而保證用戶不會(huì)受到網(wǎng)絡(luò)中ARP的工具,有需要的可以下載使用。
功能介紹
XArp是國(guó)外的一款免費(fèi)arp防火墻軟件,它使用高級(jí)技術(shù)來檢測(cè)基于ARP的攻擊。使用主動(dòng)與被動(dòng)模塊XArp可以檢測(cè)網(wǎng)絡(luò)中的黑客。ARP攻擊允許攻擊者以靜默方式竊聽或操縱通過網(wǎng)絡(luò)發(fā)送的所有數(shù)據(jù)。這包含文檔,電子郵件或VoiceIP對(duì)話。防火墻與系統(tǒng)安全性無法檢測(cè)到ARP欺騙攻擊:防火墻不能保護(hù)您免受基于ARP的攻擊。
使用XArp的唯一目的是檢測(cè)ARP攻擊。因此,它是一個(gè)專門面向用戶與管理員的高度專業(yè)化應(yīng)用程序。檢測(cè)機(jī)制基于兩種技術(shù):檢測(cè)模塊與發(fā)現(xiàn)者。檢測(cè)模塊查看每個(gè)ARP數(shù)據(jù)包,檢測(cè)它們打造的數(shù)據(jù)庫的正確性與有效性。發(fā)現(xiàn)者積極驗(yàn)證IP-MAC映射并幫助積極地攻擊攻擊者。XArp可以幫你檢測(cè)ARP攻擊并保護(hù)其數(shù)據(jù)的私密性。管理員可以使用XArp監(jiān)視整個(gè)子網(wǎng)以進(jìn)行ARP攻擊。不同的安全級(jí)別與微調(diào)可能性允許普通用戶與高級(jí)用戶有效地使用XArp來檢測(cè)ARP攻擊。
常見問題
1、什么是XArp?
答案很簡(jiǎn)單:XArp是一種網(wǎng)絡(luò)安全工具。它可以檢測(cè)防火墻未包含的關(guān)鍵網(wǎng)絡(luò)攻擊。
真正的答案:XArp使用先進(jìn)的技術(shù)來檢測(cè)ARP欺騙等ARP攻擊。這些很容易發(fā)起具有高影響力與逃避防火墻的攻擊。
2、為什么我需要XArp?
因?yàn)榛贏RP的攻擊是一種非常低估的攻擊。例如,使用ARP欺騙,攻擊者可以竊聽您的所有網(wǎng)絡(luò)流量,包含電子郵件與密碼。所有這一切都完全沒有被發(fā)現(xiàn)。XArp執(zhí)行主動(dòng)與被動(dòng)方法來檢測(cè)此類攻擊。
3、在什么網(wǎng)絡(luò)環(huán)境中我需要XArp?
ARP攻擊只能在本地網(wǎng)絡(luò)上進(jìn)行。如果您為單臺(tái)計(jì)算機(jī)配置了撥號(hào)DSL線路,則不需要XArp。如果您的計(jì)算機(jī)駐留在本地網(wǎng)絡(luò)中,則存在ARP攻擊風(fēng)險(xiǎn)并需要XArp。本地網(wǎng)絡(luò)的一個(gè)例子是公司網(wǎng)絡(luò)。當(dāng)您在工作中使用計(jì)算機(jī)時(shí),這很可能是本地網(wǎng)絡(luò)。
4、XArp檢測(cè)到攻擊時(shí)該怎么辦?
最好的建議是即刻停止所有互聯(lián)網(wǎng)與網(wǎng)絡(luò)連接。關(guān)閉所有瀏覽器,電子郵件與其他網(wǎng)絡(luò)客戶端 聯(lián)系您的網(wǎng)絡(luò)管理員。他可以分析XArp的日志輸出并確定哪些操作是必要的。
5、XArp這個(gè)名字代表什么?
ARP代表地址解析協(xié)議,是XArp監(jiān)控的協(xié)議。
6、為什么防火墻不能免除ARP攻擊?
XArp使用兩組技術(shù)來檢測(cè)ARP攻擊。一方面,XArp使用一組過濾器模塊來檢測(cè)進(jìn)入或離開計(jì)算機(jī)的每個(gè)ARP數(shù)據(jù)包。過濾器具有不同的靈敏度,并進(jìn)行分組以構(gòu)成安全級(jí)別。另一種技術(shù)是活躍的網(wǎng)絡(luò)發(fā)現(xiàn)者。這些用于快速收集有關(guān)您的網(wǎng)絡(luò)的信息并支持過濾器模塊。更多的網(wǎng)絡(luò)發(fā)現(xiàn)者用于主動(dòng)驗(yàn)證過濾器模塊收集的信息。
7、為什么防火墻不能免除ARP攻擊?
幾乎所有防火墻從ISO / OSI層向上運(yùn)行三層。ARP協(xié)議駐留在ISO / OSI第二層。因此,防火墻不會(huì)檢測(cè)任何ARP數(shù)據(jù)包。有一個(gè)防火墻執(zhí)行非?;镜腁RP檢測(cè):Agnitum Outpost Firewall Pro。此防火墻中使用的安全性非?;荆粫?huì)保護(hù)您免受ARP攻擊。IDS Snort還實(shí)現(xiàn)了非?;镜腁RP攻擊檢測(cè)。提供的安全性非?;A(chǔ),不應(yīng)指望。
8、我收到XArp的虛假警報(bào),我該怎么辦?
XArp應(yīng)用的安全級(jí)別由一組過濾器模塊與網(wǎng)絡(luò)發(fā)現(xiàn)者組成。當(dāng)您收到錯(cuò)誤警報(bào)時(shí),您有兩種選擇:切換到較低的安全級(jí)別或微調(diào)配置。在普通用戶界面中切換到較低安全級(jí)別。在高級(jí)用戶界面中執(zhí)行微調(diào)。
9、那些對(duì)于ARP攻擊的其他對(duì)策呢?
多年來,已經(jīng)提出了很多用于檢測(cè)ARP攻擊的不同解決方法。他們都沒有成為標(biāo)準(zhǔn),因?yàn)樗麄儫o法發(fā)現(xiàn)廣泛的攻擊。此外,當(dāng)你四處詢問時(shí),有五種主要的解決方法。所有這些都沒有解決問題。有些甚至不大致:
靜態(tài)ARP表:不可能的管理開銷。無法安全地分發(fā)表格。根據(jù)系統(tǒng)版本,靜態(tài)ARP條目將被覆蓋。
開關(guān):絕對(duì)沒有安全性。高端交換機(jī)上的端口安全功能很容易被欺騙
VLAN:無法將每臺(tái)計(jì)算機(jī)都放入VLAN。VLAN有自己的一組安全問題。
加密:只能從IP層向上加密。已經(jīng)顯示出對(duì)安全連接的中間人攻擊。
防火墻:請(qǐng)參閱上面的FAQ條目。
10、ARP攻擊有多常用?
確切的數(shù)字不可用。主要是因?yàn)锳RP攻擊未被發(fā)現(xiàn)。根據(jù)畢馬威的一項(xiàng)研究,大約80%的合作網(wǎng)絡(luò)攻擊來自網(wǎng)絡(luò)內(nèi)部。由于ARP攻擊很容易執(zhí)行且影響很大,因此可以猜測(cè)很多這些攻擊是使用ARP攻擊執(zhí)行的。
11、ARP攻擊只能在本地網(wǎng)絡(luò)上進(jìn)行,我為什么要擔(dān)心呢?
因?yàn)閮?nèi)部安全是一個(gè)被高度低估的威脅!安永全球信息安全調(diào)查顯示,內(nèi)部攻擊非常普遍,比外部攻擊更危險(xiǎn)。作為內(nèi)部攻擊的來源,他們提到了工業(yè)流動(dòng),外包合作伙伴,員工與其他人。此外,訪問本地網(wǎng)絡(luò)的外部攻擊者可以使用ARP攻擊輕松收集密碼與其他敏感信息。
12、我可以使用XArp檢測(cè)對(duì)于其他計(jì)算機(jī)的ARP攻擊嗎?
是的,管理員可以使用XArp來監(jiān)控整個(gè)子網(wǎng)。XArp將檢測(cè)每個(gè)ARP數(shù)據(jù)包并報(bào)告對(duì)遠(yuǎn)程計(jì)算機(jī)的攻擊。某些檢測(cè)模塊只能用于本地機(jī)器(例如StaticPreserve),但幾乎所有模塊不需要任何本地信息。它們監(jiān)視每個(gè)ARP數(shù)據(jù)包,因此可以檢測(cè)對(duì)其他計(jì)算機(jī)的ARP攻擊。確保在查看來自整個(gè)子網(wǎng)的所有網(wǎng)絡(luò)流量的計(jì)算機(jī)上部署XArp。XArp只能監(jiān)視與檢測(cè)它可以看到的數(shù)據(jù)包。
13、XArp在普通視圖中不顯示任何映射,高級(jí)視圖中也沒有網(wǎng)絡(luò)接口。
需要使用管理員權(quán)限運(yùn)行XArp。您正在從沒有管理員權(quán)限的帳戶運(yùn)行XArp。這是因?yàn)閃inpcap需要管理權(quán)限。如果要從沒有管理權(quán)限的帳戶運(yùn)行XArp,請(qǐng)執(zhí)行以下操作:以管理員身份登錄并打開命令shell。輸入以下命令并按Enter鍵:
> sc config npf start = auto
請(qǐng)注意,=之后的空格是強(qiáng)制性的。系統(tǒng)啟動(dòng)時(shí),此命令將使用管理權(quán)限自動(dòng)啟動(dòng)Winpcap驅(qū)動(dòng)程序。您現(xiàn)在可以從沒有管理權(quán)限的帳戶中使用XArp。
14、為什么普通視圖中的在線狀態(tài)一直設(shè)置為未知?
主機(jī)的在線狀態(tài)直接取決于上次看到來自此主機(jī)的ARP數(shù)據(jù)包與Unicast發(fā)現(xiàn)者的發(fā)現(xiàn)者間隔。要啟用聯(lián)機(jī)狀態(tài),請(qǐng)將普通視圖中的安全級(jí)別設(shè)置為高,或者將高級(jí)視圖中的單播發(fā)現(xiàn)者的時(shí)間間隔設(shè)置為5分鐘(00:05:00)。發(fā)現(xiàn)者間隔越低,在線狀態(tài)越精確。
15、怎么在XArp Pro中設(shè)置警報(bào)電子郵件?
XArp Pro可以通過電子郵件發(fā)送警報(bào)。XArp使用普通身份驗(yàn)證進(jìn)行電子郵件發(fā)送。如果您沒有支持純身份驗(yàn)證的電子郵件提供商:一種好方法是安裝本地電子郵件服務(wù)器。
例如,使用hMailServer - 一個(gè)用于windows的開源與免費(fèi)郵件服務(wù)器。安裝完后設(shè)置郵件服務(wù)器:
- 作為域設(shè)置,例如使用xarp-alerts.localhost
- 新域?qū)⒊霈F(xiàn)在左側(cè)。選擇帳戶并設(shè)置新的電子郵件地址,例如提醒。電子郵件地址為alerts@xarp-alerts.localhost。設(shè)置密碼,您將使用它來配置XArp。
- 將hMailServer配置為僅允許來自本地計(jì)算機(jī)的連接:設(shè)置 - >高級(jí) - > IP范圍 - > Internet,取消選中允許連接復(fù)選框。
- 配置hMailServer以允許PLAIN身份驗(yàn)證:設(shè)置 - >協(xié)議 - > SMTP - > RFC合規(guī)性,選中允許純文本身份驗(yàn)證。
而后配置XArp:
- 配置XArp。作為發(fā)件人電子郵件地址使用alerts@xarp-alerts.localhost。作為Receiver email address,使用發(fā)送警報(bào)的地址。作為SMTP用戶名使用警報(bào)。作為SMTP密碼,使用為hMailServer中的警報(bào)帳戶配置的密碼。作為SMTP服務(wù)器使用127.0.0.1。作為SMTP服務(wù)器端口使用25.
- 使用發(fā)送測(cè)試電子郵件按鈕從XArp發(fā)送測(cè)試電子郵件地址
- 檢測(cè)接收電子郵件帳戶的垃圾郵件文件夾(因?yàn)榉?wù)器沒有有效的MX記錄,郵件可能會(huì)結(jié)束垃圾郵件)
- 如果某些內(nèi)容不起作用,請(qǐng)?jiān)谠O(shè)置 - >日志記錄 - >顯示日志下的hMailServer中查看日志。確保在日志記錄下的已啟用復(fù)選框中為SMTP啟用了日志記錄。