这样对于网管管理局域网很不方便。而且会产生大量外部流量。以我们学校的校园网为例,对于校园网,主要是根据arp发送的数据包来封帐号的:如果一段时间内发送arp数据报过多,就会封掉上网帐号。这样一来就很容易被怀疑为中毒主机,至少会产生大量外部流量。
对于360arp防火墙呢,又是另外一种情况了。虽然360arp防火墙不会向网关那里发送大量数据包,但是似乎360arp防火墙有错报arp攻击的嫌疑。说是似乎,是因为我还没有确认。这种错报当然不会出现在xp操作系统中,而在vista系统中就会出现。
我们假设在一个网段内有台主机A装有360arp防火墙,另一台主机B是vista操作系统。那么每当B连接到网络的时候,360防火墙就会报告:
外部攻击:源IP: 源MAC:00-1C-23-8D-9C-E9 源机器名: 累计次数:8 开始 间:2007-11-25 21:23:55 结束时间:2007-11-25 21:24:50
这个累计次数是随机的,有时是3次,有时又是8次。但是我在B上扫描病毒甚至全盘格式化后重装系统,任然会有这个情况。而在B上网的过程中,360arp防火墙却一直没有报告B的arp攻击。另外我的电脑上装的另外一个防火墙antiarp却没有报告B的arp攻击。
因此我不得不怀疑360arp防火墙是否报错了arp攻击呢。(仅仅当网段内vista主机上网时才出现这种情况)但是为什么有的vista上网没出现这样的情况呢?
下面两个图是同一时间360arp防火墙和antiarp的反应情况。
可以看出360报告mac为00-1d-60-8a-09-21的电脑正在攻击本机,但是antiarp却没有相应报告。
最后说说antiarp。这个arp防火墙是最专业的。唯一一个不好的地方就是扫描的功能。建议局域网用户不要使用扫描功能。虽然这个功能能够扫描到网段内的所有主机信息,但是会发送大量arp数据包,于瑞星防火墙一样,会产生大量外部流量,也容易导致被怀疑为中毒主机。
此外,如果装的是Vista,每次开启antiarp后再连上网线,总会提示:对外攻击,进程也是这个unknow,攻击目标是网管IP,伪装IP是我这台机器。这似乎是一个bug,可能在vista系统中的兼容性不好吧。在xp系统中就不会出现这样的情况。
综上,瑞星虽然和vista的兼容性很好的,但是在收到arp攻击时会产生大量的外部流量,向网关发送大量的arp数据包。360arp防火墙仅仅适用于xp,且似乎会对vista系统会错报arp攻击,有待完善。而antiarp使用于vista,但是似乎还存在兼容性不好的问题。不知道新出的5.0版本有没改善。所以对于xp,最好选择antiarp,对于vista,似乎只能够选择瑞星防火墙了。
发表评论 |
|||||||
|
|||||||
|
|
|||||||
推荐广告