XArp(Arp欺骗检测器)可用于防御Arp攻击，保护用户计算机的安全。Arp攻击是局域网中最常见的攻击之一。由于网络协议的漏洞，Arp病毒有机会攻击。一旦攻击成功，就会发送大量欺诈数据包，造成网络拥塞，严重影响用户对网络的使用。XArp会为用户检测到这种欺骗行为，这样Arp病毒就可以利用它。

软件介绍

XArp是国外免费的Arp防火墙软件，采用先进技术检测基于arp的攻击。网络中的黑客可以通过使用主动和被动模块XArp来检测。ARP攻击允许攻击者静默窃听或操纵通过网络发送的所有数据。这包括文档、电子邮件或语音对话。防火墙和系统安全无法检测到ARP欺骗攻击：防火墙无法保护您免受基于ARP的攻击。

使用XArp的唯一目的是检测Arp攻击。因此，对于用户和管理员来说，它是一个高度专业化的应用程序。检测机制基于两种技术：检测模块和发现者。检测模块查看每个ARP数据包，并检测它们创建的数据库的正确性和有效性。发现者主动验证IP-MAC映射，帮助主动攻击攻击者。XArp可以帮助您检测Arp攻击，并保护其数据的隐私。管理员可以使用XArp监控整个子网的Arp攻击。不同的安全级别和微调可能性允许普通用户和高级用户有效地使用XArp来检测Arp攻击。

常见问题

1.什么是XArp？

答案很简单：XArp是一种网络安全工具。它可以检测防火墙中没有的关键网络攻击。

正确答案：XArp采用先进技术检测Arp欺骗等ARP攻击。这些很容易发起具有高影响的攻击，并避开防火墙。

2.为什么我需要XArp？

因为基于ARP的攻击是一种被非常低估的攻击。例如，使用ARP欺骗，攻击者可以窃听您的所有网络流量，包括电子邮件和密码。这一切完全没有被发现。XArp实现了主动和被动方法来检测此类攻击。

3.在什么网络环境下需要XArp？

ARP攻击只能在本地网络上进行。如果为单台计算机配置拨号DSL线路，则不需要XArp。如果您的计算机驻留在本地网络中，则有遭受ARP攻击的风险，因此需要XArp。本地网络的一个例子是公司网络。当你在工作中使用计算机时，它很可能是一个本地网络。

4.当XArp检测到攻击时，我应该怎么做？

最好的建议是立即停止所有互联网和网络连接。关闭所有浏览器，并通过电子邮件与其他网络客户端联系您的网络管理员。他可以分析XArp的日志输出，并确定哪些操作是必要的。

5.XArp这个名字代表什么？

ARP代表地址解析协议，是XArp监控的协议。

6.为什么防火墙不能免除ARP攻击？

XArp使用两套技术来检测Arp攻击。一方面，XArp使用一组过滤模块来检测进入或离开计算机的每个Arp数据包。过滤器具有不同的敏感度，并被分组以形成安全级别。另一项技术是主动网络发现者。这些用于快速收集网络信息并支持过滤模块。更多的网络发现者被用来主动验证由过滤器模块收集的信息。

7.为什么防火墙不能免除ARP攻击？

几乎所有的防火墙都从ISO/OSI层向上运行三层。ARP协议位于国际标准化组织/开放系统互连的第二层。因此，防火墙不会检测到任何ARP数据包。有一个防火墙可以执行非常基本的ARP检测：agnitum outgoing firewall pro。此防火墙使用的安全措施非常基本，不会保护您免受ARP攻击。Idsssnort还实现了非常基础的ARP攻击检测。提供的安全性是非常基本的，不应该被期待。

8.我收到了XArp的误报。我该怎么办？

XArp应用程序的安全级别由一组过滤模块和网络发现者组成。当您收到错误警报时，您有两种选择：切换到较低的安全级别或微调配置。在正常用户界面中切换到较低的安全级别。在高级用户界面中执行微调。

9.针对ARP攻击的其他对策呢？

多年来，已经提出了许多不同的检测ARP攻击的解决方案。它们都没有成为标准，因为它们无法检测到广泛的攻击。此外，当你四处询问时，主要有五种解决方案。所有这些都没有解决问题。有些甚至不是近似的：

静态ARP表：不可能的管理开销。表单无法安全分发。根据系统版本，静态ARP条目将被覆盖。

开关：绝对没有安全。高端交换机上的端口安全功能容易被欺骗

VLAN:不是每台电脑都能放进VLAN。VLAN有自己的一系列安全问题。

加密：加密只能从IP层向上进行。已经显示了对安全连接的中间人攻击。

防火墙：参见上面的常见问题条目。

10.ARP攻击有多常见？

具体数字不详。主要是因为没有发现ARP攻击。根据毕马威的一项研究，大约80%的合作网络攻击来自网络内部。因为ARP攻击容易执行，影响也很大，所以我们可以猜测，这些攻击很多都是利用ARP攻击执行的。

11.ARP攻击只能在本地网络上进行。我为什么要担心？

因为内部安全是一个被高度低估的威胁！安永全球信息安全调查显示，内部攻击非常普遍，比外部攻击更危险。作为内部攻击的来源，他们提到了产业流动性、外包合作伙伴、员工等。此外，访问本地网络的外部攻击者可以通过使用ARP攻击轻松收集密码和其他敏感信息。

12.我可以使用XArp检测其他计算机上的Arp攻击吗？

是的，管理员可以使用XArp来监控整个子网。XArp将检测每个Arp数据包，并报告远程计算机上的攻击。有些检测模块只能用于本地机器(如StaticPreserve)，但几乎所有模块都不需要任何本地信息。他们监控每个ARP数据包，因此可以检测其他计算机上的ARP攻击。确保XArp部署在查看整个子网所有网络流量的计算机上。XArp只能监控和检测它能看到的数据包。

13.XArp在普通视图中不显示任何映射，在高级视图中没有网络接口。

XArp需要以管理员权限运行。您从没有管理员权限的帐户运行XArp。这是因为Winpcap需要管理权限。要从没有管理权限的帐户运行XArp，请执行以下操作：以管理员身份登录并打开命令外壳。输入以下命令，然后按回车键：

sc配置npf启动=自动

请注意，=后面的空格是必需的。当系统启动时，该命令将自动启动具有管理权限的Winpcap驱动程序。您现在可以从没有管理权限的帐户中使用XArp。

14.为什么正常视图中的在线状态总是设置为未知？

主机的在线状态直接取决于来自该主机的最后一个ARP数据包与单播发现程序之间的发现程序间隔。要启用联机状态，请将“普通”视图中的安全级别设置为“高”，或将“高级”视图中单播discoverer的时间间隔设置为5分钟(00336005:00)。发现者间隔越低，在线状态越准确。

15.如何在XArp Pro中设置报警邮件？

XArp Pro可以通过电子邮件发送警报。XArp使用普通身份验证来发送电子邮件。如果您没有支持纯身份验证的电子邮件提供商，一个好方法是安装本地电子邮件服务器。

例如，使用hmailServer，一个面向windows的开源免费邮件服务器。安装后设置邮件服务器：

-作为域设置，例如，使用xarp-alerts.localhost

-新域将出现在左侧。选择一个帐户并设置一个新的电子邮件地址，如提醒。电子邮件地址是alerts@xarp-alerts.localhost.设置用于配置XArp的密码。

-将hMailServer配置为仅允许来自本地计算机的连接：设置-高级-IP范围-互联网，取消选中允许连接复选框。

-将hMailServer配置为允许纯文本身份验证：set-protocol-SMTP-RFC符合性，选中允许纯文本身份验证。

然后配置XArp:

-配置XArp。使用alerts@xarp-alerts.localhost作为发件人电子邮件地址。作为接收者电子邮件地址，使用发送警报的地址。使用警报作为SMTP用户名。作为SMTP密码，请使用在hMailServer中为警报帐户配置的密码。使用127.0.0.1作为SMTP服务器。使用25作为SMTP服务器端口。

-使用发送测试电子邮件按钮从XArp发送测试电子邮件地址

-检测接收电子邮件帐户的垃圾邮件文件夹(因为服务器没有有效的MX记录，电子邮件可能会结束垃圾邮件)

-如果有问题，请查看hMailServer中设置-日志记录-显示日志下的日志。确保在“日志记录”下的“已启用”复选框中为SMTP启用了日志记录。