二、主動防御和追蹤
1.主動防御
ARP攻擊軟件一般會發(fā)送兩種類型的攻擊數(shù)據(jù)包：
(1)向本機發(fā)送虛假的ARP數(shù)據(jù)包。此種攻擊包，ARP防火墻可以100%攔截。
(2)向網(wǎng)關(guān)發(fā)送虛假的ARP數(shù)據(jù)包。因為網(wǎng)關(guān)機器通常不受我們控制，所以此種攻擊包我們無法攔截。“主動防御”的功能就是，“告訴”網(wǎng)關(guān)，本機正確的MAC地址應(yīng)該什么，不要理睬虛假的MAC地址。

主動防御支持三種模式
(1)停用。任何情況下都不向網(wǎng)關(guān)發(fā)送本機正確的MAC地址。
(2)警戒。平時不向網(wǎng)關(guān)發(fā)送本機正確的MAC地址，狀態(tài)為“警戒－待命”。當(dāng)檢測到本機正在受到ARP攻擊時，狀態(tài)切換為“警戒－啟動防御”，開始向網(wǎng)關(guān)發(fā)送本機正確的MAC地址，以保證網(wǎng)絡(luò)不會中斷。持續(xù)30秒沒有檢測到攻擊時，狀態(tài)從“警戒－啟動防御”切換回“警戒－待命”，停止發(fā)包，
(3)始終運行。始終向網(wǎng)關(guān)發(fā)送本機正確的MAC地址。如果攻擊者只向網(wǎng)關(guān)發(fā)送攻擊數(shù)據(jù)，不向本機發(fā)送攻擊數(shù)據(jù)，那么如果主動防御處于“警戒”狀態(tài)時是無法保證網(wǎng)絡(luò)不會中斷的，“始終運行”主動防御功能，可以應(yīng)對這種情況。強烈建議校園網(wǎng)用戶不要把主動防御設(shè)置為始終運行，以避免被網(wǎng)絡(luò)管理中心誤判為中毒機器，如果確實需要，建議把防御值設(shè)置為1~2。

關(guān)于主動防御的速度
主動防御功能默認配置為：警戒狀態(tài)，發(fā)包速度10 pkts/s。經(jīng)過彩影軟件大量測試，防御速度為10pkts/s時可以應(yīng)對市面上大多數(shù)ARP攻擊軟件。向網(wǎng)關(guān)發(fā)送正確MAC時，每次會發(fā)送兩種類型的數(shù)據(jù)包，每個數(shù)據(jù)包大小是42字節(jié)(Bytes)，所以當(dāng)速度為10時，網(wǎng)絡(luò)流量是： 10*2*42=840Bytes，即不到1KBytes/s。同理可計算，防御速度為100時，網(wǎng)絡(luò)流量<10KBytes/s。防御速度支持自定義，用戶可以根據(jù)自己的網(wǎng)絡(luò)情況自行調(diào)準(zhǔn)，強烈建議校園網(wǎng)用戶不要設(shè)置過高的防御值（超過5），以避免被網(wǎng)絡(luò)管理中心誤判為中毒機器。
2.追蹤攻擊者IP(MAC掃描)
(1)〖被動收集IP/MAC對應(yīng)表〗此功能默認啟用，且不可撤銷。ARP防火墻通過分析接收到的所有ARP數(shù)據(jù)包，從而在不發(fā)包的情況收集局域網(wǎng)內(nèi)的IP/MAC對應(yīng)表，為追蹤攻擊者做好準(zhǔn)備。
(2)〖主動收集－手動開始〗點擊菜單欄“追蹤”按鈕后，開始主動發(fā)包探測局域網(wǎng)內(nèi)的IP/MAC對應(yīng)表。
(3)〖主動收集－自動開始〗自動開始主動發(fā)包探測局域網(wǎng)內(nèi)的IP/MAC對應(yīng)表，不需用戶干預(yù)。掃一個IP間隔3秒的意思是：每隔3秒發(fā)一個包。掃一圈間隔60分鐘的意思是：對局域網(wǎng)的掃描完成之后，休息60分鐘，接著才開始再繼續(xù)掃描一遍。強烈建議校園網(wǎng)用戶不要設(shè)置此選項，以避免被網(wǎng)絡(luò)管理中心誤判為中毒機器。一般情況下，"被動收集"和"主動收集－手動開始"已經(jīng)足以追查到攻擊者IP，如果MAC不是偽造的話。
3.網(wǎng)關(guān)IP/MAC
(1)〖自動獲取〗由ARP防火墻自動探測網(wǎng)關(guān)的IP和MAC。如果在ARP防火墻啟動之前，本機就已經(jīng)處于ARP攻擊之下，那么ARP防火墻探測到的網(wǎng)關(guān)MAC有可能會是虛假的，概率取決于攻擊強度，即攻擊強度越大，獲取到虛假MAC的可能性就越大。
(2)〖手動設(shè)置〗為了解決自動獲取MAC可能系偽造的問題，用戶可手動設(shè)置網(wǎng)關(guān)IP/MAC。網(wǎng)關(guān)的正確MAC可咨詢網(wǎng)管人員，或通過"arp -a"命令來查詢。注意：如果已經(jīng)處于ARP攻擊之下，通過"arp -a"命令查看到的網(wǎng)關(guān)MAC也有可能是偽造的。

三、防御選項
1.ARP抑制
(1)〖抑制發(fā)送ARP〗當(dāng)本機發(fā)送ARP數(shù)據(jù)包的速度超過閥值時，ARP防火墻會啟動攔截程序。一般情況下，本機發(fā)送ARP的速度不應(yīng)該超過10個/秒。
(2)〖一并攔截發(fā)送的ARP Reply〗如果攔截本機發(fā)送的ARP Reply，其它機器將無法獲取你的MAC地址，將無法主動與你的機器取得聯(lián)系，但你的機器可主動與其它機器聯(lián)系。
(3)〖安全模式〗只響應(yīng)來自網(wǎng)關(guān)的ARP Request，以降低受到ARP攻擊的概率。
2.洪水(Flood)抑制
洪水攻擊即DoS攻擊，常見的有TCP SYN Flood、ICMP Flood、UDP Flood等。DoS數(shù)據(jù)包與普通數(shù)據(jù)包無異，唯一判斷的標(biāo)準(zhǔn)是它發(fā)包的速度。如果你是個人用戶，強烈建議不要啟用“抑制發(fā)送UDP”和“抑制發(fā)送ICMP”的功能，以免影響你的正常使用。
3.攔截攻擊
(1)〖攔截外部ARP攻擊〗此功能默認啟用且不可撤銷，因為撤銷之后本機將無法受到保護，安裝運行ARP防火墻也就沒有意義了。
(2)〖攔截外部IP沖突攻擊〗此功能默認啟用且不可撤銷
(3)〖攔截本機對外ARP攻擊〗如果本機中了ARP病毒，在病毒對局域網(wǎng)進行攻擊時，ARP防火墻可以把攻擊數(shù)據(jù)攔截，把攻擊扼殺在源頭。
(4)〖攔截本機對外偽造IP攻擊〗如果本機中了DoS病毒（帶DoS攻擊功能的病毒），在病毒偽裝成其它IP，對局域網(wǎng)或其它網(wǎng)絡(luò)進行DoS攻擊時，ARP防火墻可以把攻擊數(shù)據(jù)攔截，把攻擊扼殺在源頭。