|
|
 |
|
|
| 1. Re:彻底解决ARP病毒的可能方法? |
  |
|
 |
|
HP : 1029 / 1715
MP : 4138 / 29477
EXP : 61%
|
|
rotartsinimdA
成员等级: 69
发表总数: 12415
金币总数: 429
所属组别: 管理员
注册日期: 2003/01/1
|
跑个题
突然发现麦子的签名好暧昧
xxbin@netbuddy.org |
|
|
|
| 2. Re:彻底解决ARP病毒的可能方法? |
|
|
 |
|
HP : 250 / 1252
MP : 1618 / 21437
EXP : 8%
|
|
迟则生变
成员等级: 51
发表总数: 4855
金币总数: 285
所属组别: 管理员
注册日期: 2003/01/9
|
一点也不暧昧
--------------------
珍爱生命 拒绝跑题
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 3. Re:彻底解决ARP病毒的可能方法? |
|
|
 |
|
HP : 0 / 185
MP : 29 / 2779
EXP : 40%
|
|
武林侠客
成员等级: 8
发表总数: 89
金币总数: 164
所属组别: 普通成员
注册日期: 2003/09/30
|
能否设计一款能防ARP攻击的接入交换机?
路漫漫其修远兮,吾将上下而求索...
http://nic.lsxy.com
http://e-sion.ls0578.net |
|
|
|
| 4. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 0 / 185
MP : 29 / 2779
EXP : 40%
|
|
武林侠客
成员等级: 8
发表总数: 89
金币总数: 164
所属组别: 普通成员
注册日期: 2003/09/30
|
划小VLAN,一台机一个VLAN怎么样?
路漫漫其修远兮,吾将上下而求索...
http://nic.lsxy.com
http://e-sion.ls0578.net |
|
|
|
| 5. RE: 彻底解决ARP病毒的可能方法? |
|
|
 |
|
HP : 87 / 878
MP : 629 / 13462
EXP : 15%
|
|
天道酬勤
成员等级: 36
发表总数: 1887
金币总数: 417
所属组别: 核心成员
注册日期: 2003/08/22
|
| QUOTE | | 划小VLAN,一台机一个VLAN怎么样? |
数千台终端的大网 怎么办? |
|
|
|
| 6. RE: 彻底解决ARP病毒的可能方法? |
|
|
 |
|
HP : 206 / 1032
MP : 954 / 15715
EXP : 31%
|
|
名动江湖
成员等级: 42
发表总数: 2864
金币总数: 1,171
所属组别: 核心成员
注册日期: 2003/09/4
|
| QUOTE | | 能否设计一款能防ARP攻击的接入交换机? |
arp inspection? |
|
|
|
| 7. Re:彻底解决ARP病毒的可能方法? |
|
|
 |
|
HP : 0 / 436
MP : 130 / 7446
EXP : 44%
|
|
名动江湖
成员等级: 18
发表总数: 392
金币总数: 894
所属组别: 中级成员
注册日期: 2003/01/14
|
我这里采用CISCO的ip arp inspection
ip arp inspection vlan VLAN号
ip arp inspection validate src-mac
发现ARP异常攻击,到达一定阀值就关闭端口,LOG有告警,端口信息提示error
假如端口下面链接的是HUB或不可网管的交换,只有电话告诉他们,把有毒的PC关机拔网线重新安装系统,然后再开放端口 |
|
|
|
| 8. Re:彻底解决ARP病毒的可能方法? |
|
|
 |
|
HP : 86 / 863
MP : 602 / 13059
EXP : 54%
|
|
四川唐门掌门
成员等级: 35
发表总数: 1807
金币总数: 1,226
所属组别: 高级成员
注册日期: 2003/09/16
|
基于网络设备的检测不具备一般可行性,这个问题由系统本来来解决是最好的
没有签名创意的网络新手 |
|
|
|
| 9. Re:彻底解决ARP病毒的可能方法? |
|
|
 |
|
HP : 241 / 1207
MP : 1461 / 20663
EXP : 30%
|
|
Administrator
成员等级: 49
发表总数: 4384
金币总数: 607
所属组别: 管理员
注册日期: 2003/01/10
|
我想提一下: 为什么会出现arp病毒。
提一下arp病毒的目的,也许对解决该问题有些帮助,ARP病毒作为盗号、盗密码等恶意软件的功能模块,让局域网的流量经过它所伪造的“网关”,从而达到窃取用户名和密码的目的,该病毒的总是随着多个小恶意软件一起发作,病毒软件一般都查不出来,包括卡巴、mcafee、以及号称杀国内病毒比较强的瑞星、kv。
它的传播方式,一般是多个执行文件和dll打成一个文件包,当用户通过email、网站链接访问到该文件包后,其下载到本地自动解开并运行,随后在局域网内传播(只感染某些有特定漏洞的机器)。
我于去年底,曾测试过各主要杀毒软件的检出率,一般病毒、木马的检出率都很高,但网站页面中挂的类似arp病毒的小脚本、小程序识别率非常低,大概就10%以下的检出率。 所以靠杀毒软件无法隔离这些东西。
我个人的感觉是,单靠内网防毒系统的 识别 -》检出 从而达到防护目的的方法,已无法提供合适的保护,可能更多要依靠在网关处的7层包检测(DPI深度包检测,其它的说法:流量监控、流量优化、流量安全等)来识别恶意软件,以及结合 客户端的 软件行为识别系统来提供最后一道的保护。
 努力传递美好和希望--NBO
One ought, every day at least, to hear a little song, read a good poem, see a fine picture, and if it were possible, to speak a few reasonable words. –Goethe |
|
|
|
| 10. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 206 / 1032
MP : 954 / 15715
EXP : 31%
|
|
名动江湖
成员等级: 42
发表总数: 2864
金币总数: 1,171
所属组别: 核心成员
注册日期: 2003/09/4
|
最近arp病毒体现出新的特征,即加入病毒网页URL到广播包中,将局域网流量拦截然后转发到特定的URL。
arp病毒一旦发作影响的将是整个VLAN的所有主机,而目前的处理手段比较薄弱,不仅需要软硬件设备的投入,
而且运维管理的成本开销也比较大,效果还不一定很理想。 |
|
|
|
| 11. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 0 / 75
MP : 9 / 887
EXP : 3%
|
|
江湖游客
成员等级: 4
发表总数: 28
金币总数: 51
所属组别: 普通成员
注册日期: 2004/11/15
|
楼上说的情况很普遍吧,前一段时间有人写了一篇文章,抓包分析才发现问题的。
关于掐掉ARP spoofing的源头,老大们讨论的很精彩,有现成的这种产品吗? |
|
|
|
| 12. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 0 / 21
MP : 3 / 72
EXP : 86%
|
|
新手上路
成员等级: 1
发表总数: 9
金币总数: 19
所属组别: 普通成员
注册日期: 2007/09/27
|
最近电脑中了ARP病毒才想到找这个资料,我觉得要想完全杜绝是不可能的吧,你不可能走在病毒前面的.
我刚开始下载了ARP专杀,发现根本不能解决问题,还用了ARP Guard完全没用(也许防护的就这样吧).
本来想重装系统的,最后拿360用了下就晕了,问题一下就解决了.另外它也有防护的功能没必要用那么复杂的软件吧 |
|
|
|
| 13. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 0 / 189
MP : 30 / 2808
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 258
所属组别: 普通成员
注册日期: 2003/10/22
|
这个问题可以这样看,
在网络上增添一台设备,以旁路方式接入到网络,一旦该设备检测到ARP攻击,就立刻关闭交换机端口,或者把攻击主机移动到另一个VLAN.
目前的技术已经可以做到这一点,而且也有成型的设备,
但存在一个问题就是,这种检测是要求ARP攻击是发广播包才行,象点对点的ARP攻击就是没效的,不过了防目前的ARP病毒的效果还是可以的,不需要去装什么服务器端和客户端, |
|
|
|
| 14. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 206 / 1032
MP : 954 / 15715
EXP : 31%
|
|
名动江湖
成员等级: 42
发表总数: 2864
金币总数: 1,171
所属组别: 核心成员
注册日期: 2003/09/4
|
在接入层交换机启用PVLAN怎么样? |
|
|
|
| 15. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 0 / 1
MP : 0 / 0
EXP : 0%
|
|
新手上路
成员等级: 1
发表总数: 2
金币总数: 12
所属组别: 普通成员
注册日期: 2007/12/21
|
不知道说什么。。。如是说。。 |
|
|
|
| 16. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 79 / 798
MP : 496 / 13601
EXP : 94%
|
|
名动江湖
成员等级: 32
发表总数: 1489
金币总数: 634
所属组别: 核心成员
注册日期: 2003/01/20
|
如果安装客户端,配合网管,是很好解决这个arp欺骗问题的,目前一些交换机厂商也做了这样的工作,但是前提是所有交换设备为同一厂家。
我觉得将控制arp欺骗可以做在网卡驱动层面上,类似某些防火墙。
|
|
|
|
| 17. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 206 / 1032
MP : 954 / 15715
EXP : 31%
|
|
名动江湖
成员等级: 42
发表总数: 2864
金币总数: 1,171
所属组别: 核心成员
注册日期: 2003/09/4
|
目前影响局域网最大的问题就是ARP病毒了,每天都要花费很多时间来查找病毒源,到目前为止一直没有行之有效比较彻底的办法,
而病毒的发展却是突飞猛进,现在的混合型病毒危害性、隐蔽性、顽固性等等已经到了相当高的程度,难道这样的局面将一直持续下去??? |
|
|
|
| 18. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 76 / 768
MP : 453 / 10132
EXP : 75%
| | |
