欢迎访客 ( 登陆 | 注册 ) NetBuddy.Org论坛 ->技术论坛 ->网络世界 论坛索引 | 最新主题 | 热门主题 | 搜索论坛 | 成员列表 | 在线帮助 前往页面: (3) [1] 2 3  ( 前往第一篇未阅读文章 ) 彻底解决ARP病毒的可能方法？ « 上一篇主题 | 下一篇主题 » 跟踪主题 | 邮寄主题 | 打印主题   麦子   1. 彻底解决ARP病毒的可能方法？ HP : 250 / 1252 MP : 1618 / 21437 EXP : 8% 迟则生变 成员等级: 51 发表总数: 4855 金币总数: 285 所属组别: 管理员 注册日期: 2003/01/9 各位搞开发的大拿，有没有可能写出这样的程序安装到PC上之后，禁止它发出源MAC与网卡MAC不一致的数据包（组播包等除外）？这样的程序能不能做到独立于硬件（网卡）？ 好像有一定的市场价值。 没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我，也为你 No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee. 发表于2007/01/18, 12:53   xxbin 2. Re:彻底解决ARP病毒的可能方法？ HP : 1029 / 1715 MP : 4138 / 29477 EXP : 61% rotartsinimdA 成员等级: 69 发表总数: 12415 金币总数: 429 所属组别: 管理员 注册日期: 2003/01/1 对ARP攻击有点兴趣 各位继续讨论 xxbin@netbuddy.org 发表于2007/01/18, 12:59   xxbin 3. Re:彻底解决ARP病毒的可能方法？ HP : 1029 / 1715 MP : 4138 / 29477 EXP : 61% rotartsinimdA 成员等级: 69 发表总数: 12415 金币总数: 429 所属组别: 管理员 注册日期: 2003/01/1 麦子的要求用ARP Guard可以实现 但是 在客户端装东西，偶总觉得不爽 xxbin@netbuddy.org 发表于2007/01/18, 13:58   麦子 4. Re:彻底解决ARP病毒的可能方法？ HP : 250 / 1252 MP : 1618 / 21437 EXP : 8% 迟则生变 成员等级: 51 发表总数: 4855 金币总数: 285 所属组别: 管理员 注册日期: 2003/01/9 关键是要能够解决问题。 某些特殊的数据包在网络上查起来很麻烦，如果设备的管理功能不强甚至可能查不到。在客户端装程序虽然麻烦但是是从根本上解决问题的办法。 如果做得好，这个客户端还可以提供管理功能。 ARP Guard是现成的吗？ 我查查。 没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我，也为你 No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee. 发表于2007/01/18, 15:27   麦子 5. Re:彻底解决ARP病毒的可能方法？ HP : 250 / 1252 MP : 1618 / 21437 EXP : 8% 迟则生变 成员等级: 51 发表总数: 4855 金币总数: 285 所属组别: 管理员 注册日期: 2003/01/9 ARP卫士在系统网络的底层安装了一个核心驱动,其过滤所有的ARP数据包,对每个ARP应答进行判断,只有符合规则的ARP包,才会被进一步处理.这样,就实现防御了计算机被欺骗. 同时,ARP卫士对每一个发送出去的ARP应答都进行检测,只有符合规则的ARP数据包才会被发送出去,这样就实现了对发送攻击的拦截. 由于ARP卫士既能拦截接收的应答,又能拦截发送的攻击,所以,对于安装了ARP卫士的局域网,攻击行为将被完全排除. 同时,ARP卫士管理端会时时监测并记录每台客户端的行为,就算某台计算机的客户端被卸载或异常停止,进而进行了攻击,其行为在服务器端完全可以发现,从而可以快速发现故障点... http://arp.enet100.com/product.asp?str=technic 跟我的想象差不多。 没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我，也为你 No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee. 发表于2007/01/18, 15:43   xxbin 6. Re:彻底解决ARP病毒的可能方法？ HP : 1029 / 1715 MP : 4138 / 29477 EXP : 61% rotartsinimdA 成员等级: 69 发表总数: 12415 金币总数: 429 所属组别: 管理员 注册日期: 2003/01/1 客户端的软件来解决这个问题有几个不好的地方 首先是麻烦，5K台机器要装这个就累死人了 其次是安全问题，如果病毒比管理软件获取的系统权限高，管理软件会失效，就比如某些病毒会主动关闭某些防毒软件一样 我还是认为集中的解决方案比较好 xxbin@netbuddy.org 发表于2007/01/18, 15:59   麦子 7. Re:彻底解决ARP病毒的可能方法？ HP : 250 / 1252 MP : 1618 / 21437 EXP : 8% 迟则生变 成员等级: 51 发表总数: 4855 金币总数: 285 所属组别: 管理员 注册日期: 2003/01/9 咨询了一下厂家，有一点跟我想象的不一样： 我的想法中这个软件最主要的是防止本机发出欺骗性的ARP包，如果网络上的机器都不发欺骗包的话，不需要判断收到的ARP包是否是欺骗性质的。 ARP Guard厂家的实现中对于是否欺骗数据包的判断是根据服务器扫描收集的数据来进行的，不是通过分析本地机器的网卡MAC这种方式。这种方式对于过滤收到的ARP数据包有帮助，但是用于对发出的ARP的判断没有必要。 xxbin说的集中的解决方案是怎么实现呢？ 我还是觉得客户端软件的方式解决得比较彻底。 ------------------------------ 欢迎最有创意的你加入讨论！ 没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我，也为你 No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee. 发表于2007/01/18, 16:13   xtuthl 8. Re:彻底解决ARP病毒的可能方法？ HP : 0 / 5 MP : 1 / 73 EXP : 21% 新手上路 成员等级: 1 发表总数: 4 金币总数: 21 所属组别: 普通成员 注册日期: 2004/04/17 在局域网中不使用arp协议，改用其它协议。如pppoe 我的个人网站 欢迎大家参观 发表于2007/01/18, 16:23   麦子 9. RE: 彻底解决ARP病毒的可能方法？ HP : 250 / 1252 MP : 1618 / 21437 EXP : 8% 迟则生变 成员等级: 51 发表总数: 4855 金币总数: 285 所属组别: 管理员 注册日期: 2003/01/9 QUOTE 在局域网中不使用arp协议，改用其它协议。如pppoe :-) 开销大了点吧。 没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我，也为你 No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee. 发表于2007/01/18, 16:31   21cnstar 10. Re:彻底解决ARP病毒的可能方法？ HP : 0 / 362 MP : 91 / 5313 EXP : 48% 仍然学习中... 成员等级: 15 发表总数: 274 金币总数: 230 所属组别: 中级成员 注册日期: 2003/11/11 支持XXBIN. 客户端那么多,一个个的跑人家烦自己也烦.重装了系统也不知道还会不会再装这个软件.不如让MS集成... 学海无崖,回头是岸! 发表于2007/01/18, 16:36   麦子 11. Re:彻底解决ARP病毒的可能方法？ HP : 250 / 1252 MP : 1618 / 21437 EXP : 8% 迟则生变 成员等级: 51 发表总数: 4855 金币总数: 285 所属组别: 管理员 注册日期: 2003/01/9 现在还有一个个跑去装的吗？ 简单的放到网页上让大家下载自己装，复杂点的通过域来推一下就行了。 关键是集中式的解决方案能不能有效解决这个问题？ 没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我，也为你 No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee. 发表于2007/01/18, 16:41   21cnstar 12. Re:彻底解决ARP病毒的可能方法？ HP : 0 / 362 MP : 91 / 5313 EXP : 48% 仍然学习中... 成员等级: 15 发表总数: 274 金币总数: 230 所属组别: 中级成员 注册日期: 2003/11/11 关键是集中式的解决方案能不能有效解决这个问题？ 对了---这个才是重点---有什么好的方法先介绍一下. 学海无崖,回头是岸! 发表于2007/01/18, 16:44   xxbin 13. Re:彻底解决ARP病毒的可能方法？ HP : 1029 / 1715 MP : 4138 / 29477 EXP : 61% rotartsinimdA 成员等级: 69 发表总数: 12415 金币总数: 429 所属组别: 管理员 注册日期: 2003/01/1 最近对ARP攻击有点兴趣，花点时间来讨论讨论，希望能够起到抛砖引玉的效果 其实偶对ARP攻击的知识，基本上还停留在N年前的了解上，不过最近倒是问fireon要了一点资料看了看。 在这里，我把ARP Spoofing和MAC Spoofing结合起来一起考虑。 首先我不认为基于客户端的保护软件是一种有效的解决方案 原因简单列表如下： 1> 安装、管理、升级麻烦，特别对于大型网络上来说这很痛苦； 2> 保护软件会存在与ARP病毒争抢系统权限的问题，说不定谁能控制ARP包的进出； 3> 基于客户端的软件只会保护自己，外来的计算机、没有安装此软件的计算机以及各种网络设备都受不到很好的保护 4> 严格上来说，客户端的软件并没有解决ARP欺骗的安全问题 有关第4点，展开讨论一下，首先来看看ARP攻击所能导致的后果 1> Man in the middle attack (MITM) 2> Denial of service 3> Half-routing attack MITM需要欺骗被攻击的两台机器，用上面的方法貌似可以保护的，但在一些复杂的网络环境下，哪怕被攻击的两台机器有保护软件，但是用特殊的方法，也还是能够用ARP欺骗和MAC欺骗想结合来实现MITM的，当然，这需要一些限制条件才能实现，别忘了，交换机可不能安装这个软件，哈哈 通过MAC Spoofing，会导致交换机的PORT-MAC表冲突，严重甚至会DoS 对于Half-routing，估计要先解释一下这个定义 Q: What does the APR state Half-Routing means ? A: That state means that APR is routing the traffic correctly but only in one direction (ex: Client->Server or Server->Client). This can happen if one of the two hosts cannot be poisoned or if asymmetric routing is used on the LAN. In this state the sniffer looses all packets of an entire direction so it cannot grab authentications that uses a challenge-response mechanism. OK，要实现Half-routing，原理上来说只要攻击一台设备就OK了，比如交换机，Half-routing攻击虽然只能sniffer到一半的信息，但是也足以导致严重的安全问题 再来看麦子的想法 QUOTE 我的想法中这个软件最主要的是防止本机发出欺骗性的ARP包，如果网络上的机器都不发欺骗包的话，不需要判断收到的ARP包是否是欺骗性质的。 ARP Guard厂家的实现中对于是否欺骗数据包的判断是根据服务器扫描收集的数据来进行的，不是通过分析本地机器的网卡MAC这种方式。这种方式对于过滤收到的ARP数据包有帮助，但是用于对发出的ARP的判断没有必要。 1> 我同意需要防止本机发出欺骗性的ARP包 2> 不同意"不需要判断收到的ARP包是否是欺骗性质的"，一颗老鼠屎坏了一锅汤啊！ 3> 采用绑定网卡MAC的方法我也赞同，但是这没法识别接受到的ARP应答包是否是欺骗的ARP应答 总而言之，我不认为安装这么一个软件可以搞定ARP欺骗 也不认为麦子的想法是正确的 至于说我的集中式解决方案，还得再考虑考虑再贴比较妥当 xxbin@netbuddy.org 发表于2007/01/18, 17:13   麦子 14. Re:彻底解决ARP病毒的可能方法？ HP : 250 / 1252 MP : 1618 / 21437 EXP : 8% 迟则生变 成员等级: 51 发表总数: 4855 金币总数: 285 所属组别: 管理员 注册日期: 2003/01/9 QUOTE 不需要判断收到的ARP包是否是欺骗性质的 这句话是有个前提的，就是所有的机器都控制住了发出的ARP包是正确的(如果网络上的机器都不发欺骗包的话，不需要判断收到的ARP包是否是欺骗性质的)。现实条件下可能会存在一些情况，比如说某些机器没有安装ARP验证和过滤程序导致网络上有伪造的ARP包，所以还是需要判断收到的ARP是否属于欺骗性质的。我之所以这么说是要强调我的思路是从底层（也许从网卡逻辑驱动那一层...如果存在的话...不是做开发的不清楚）去审核和过滤（+告警？）发出的ARP数据包。 前阵子我们看到的ARP攻击包往往有一个特征，就是这个数据包的源MAC是正确的，但是最近的攻击包源MAC却是伪造的，比如0000.0000.0000，这种攻击目标并不在于截获数据包，纯粹就是干扰网络的正常运行。 由于MAC地址是伪造的，且0000.0000.0000并不是一个正常的MAC地址，交换机有可能不会把它加入MAC地址表，但是收到这个信息的机器会受到干扰，导致通讯中断。 集中式的解决方案的挑战在于： 1.如何识别和定位ARP攻击的来源？ 2.有什么措施可用阻断这种攻击？ －－ 注意串接在网络中间的solution由于性能和功能问题有可能很难实现。 没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我，也为你 No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee. 发表于2007/01/18, 17:31   xxbin 15. Re:彻底解决ARP病毒的可能方法？ HP : 1029 / 1715 MP : 4138 / 29477 EXP : 61% rotartsinimdA 成员等级: 69 发表总数: 12415 金币总数: 429 所属组别: 管理员 注册日期: 2003/01/1 我的意思是 你太理想化了 网络上可能有很多我们不可控的因素的，检查应答包，是必要的，至于是否存在那么一层硬件无关的底层调用，我觉得不重要，你能利用，就不允许病毒利用么？谁厉害还不知道呢。 BTW: 我上面的帖子做了一些修改，在交换网络中，光靠ARP SPOOFING有时候是不够的，因此加入MAC SPOOFING，偶觉得这是两兄弟，应该放一起讨论。