微点交流论坛

标题: 微点的MAC地址绑定功能 [打印本页]

作者: bingyan 时间: 2007-12-27 17:07 标题: 微点的MAC地址绑定功能

最近局域网老是有arp病毒.用微点进行了MAC绑定,可是仍然不行.这个绑定难道不能解决这个问题吗？请高手指点个好的方法.防arp的墙装了也没用,只是能上网,但每次还是要弹出病毒警报.没装前连网都上不成

作者: y0365 时间: 2007-12-27 17:15
楼主是否启用了微点的防火墙，绑定MAC地址需要启用防火墙，否则设置无效。
如果启用防火墙后仍然无效，建议查看下您绑定的mac地址是否真确，核实真实的MAC地址进行绑定，另外联系你们的网管，核查是那台主机遭到欺骗了。

作者: bingyan 时间: 2007-12-27 17:22
防火墙肯定是启用了的,MAC地址绝对没问题.这个绑定从理论上来说应该是可以避免这类病毒的吧？？我在防火墙规则中把局域网的其它IP地址都禁止了啊,可这样还是不行
另外顺便问一下,当病毒被下回来时被微点杀掉了,可是病毒依然对系统作出了更改.包括禁用任务管理器和修改时间,修改隐藏文件不显示.那是否说明病毒在杀掉前已经运行成功呢？

[ Last edited by bingyan on 2007-12-27 at 17:31 ]

作者: y0365 时间: 2007-12-27 17:43
理论上绑定MAC地址可以防止这类欺骗，但是有一些情况绑定也无效,如经被欺骗，你绑定的地址是错误的
不能这样说，禁用注册表或者修改时间只需要修改简单的注册表项就可以实现，有很多软件也有这样的功能，真正的病毒不会只干这些事情的

微点拦截了病毒的危害行为，对于这几个注册表项，微点软件也提供了相应的辅助工具进行防护：
如：注册表保护: 对系统的一些关键注册表项（任务管理器）设置保护，防止病毒修改.
锁定系统时间：打开“程序行为实时监控策略窗口，可防止恶意程序进行修改。
如果你的任务管理器已经被锁定，可启用“注册表修改”中的解锁功能进行解锁。
如果你还有疑问，建议你发送样本至微点官方： virus@micropoint.com.cn

作者: bingyan 时间: 2007-12-27 17:52
也就是说微点让这个程序一直运行到他认为属病毒行为时才干掉它.如果能在程序运行时对其进行监控记录（实际上微点应该是进行监控了的,可能没记录下来）.当最终确定为病毒时,再把程序所做的动作提交给用户就好了,用户就可以根据这些来修复系统.这个工作对于微点来说应该不是很大的工作量,毕竟只是在后台记录一下而已

[ Last edited by bingyan on 2007-12-27 at 17:56 ]

作者: Beta 时间: 2007-12-27 18:00
这件事我比较有发言权。我们校园网络内曾经大肆泛滥过ARP攻击，像这种网关的IP-MAC绑定在命令行模式下也可以进行，效果不好，原因在于攻击者也会攻击网关，篡改网关的ARP缓存，使得其他客户端与网关的通讯中断。而这方面防御做得非常好的应属彩影软件的“ARP防火墙单机版，完全免费，防护效果好，只要安装后在设置里打开”安全模式“，该防火墙就会忽略所有非网关的ping，从而从其他客户端的ARP缓存中消失，使攻击者看不到你，这样就会彻底的解决这个问题。
ARP防火墙下载地址：http://www.antiarp.com/down.asp?ArticleID=80
”安全模式“这个想法不错，如果微点想在这方面完善一下的话可以考虑收入，呵呵。

作者: Legend 时间: 2007-12-27 18:28

Quote:

Originally posted by bingyan at 2007-12-27 17:52:
也就是说微点让这个程序一直运行到他认为属病毒行为时才干掉它.如果能在程序运行时对其进行监控记录（实际上微点应该是进行监控了的,可能没记录下来）.当最终确定为病毒时,再把程序所做的动作提交给用户就好了,用 ...

您可以参考微点的系统日志功能，里面有相应的纪录。

作者: bingyan 时间: 2007-12-27 22:17
那些日志太乱了点,要能根据要求分组显示就好了

作者: wantcm 时间: 2007-12-27 22:54
ARP欺骗攻击分虚假主机和虚假客户机两种，单独绑定了服务器MAC，并不能完全解决问题，建议楼主联系网络管理员，从服务器端绑定你的IP-MAC，做到双向绑定，这样才能比较完善的解决ARP欺骗攻击。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn