微点交流论坛

标题: 微点被骗记！（转自点饭） [打印本页]

作者: 御剑临风 时间: 2009-3-1 18:43 标题: 微点被骗记！（转自点饭）

转自点饭（注意，转帖时请说明下，hanker） http://www.mpfans.org/thread-29478-1-1.html

主要是为了测试微点的防arp病毒的效果！！因为没有样本，所以就用了同样是arp欺骗原理的《聚生网管》来当病毒！
（但是有一点，聚生好像是不会清空远程机子的arp缓存，有的病毒却会这样做，结果却是不一样的，后面再说）！

环境：两个虚拟机系统，装聚生的叫A(虚拟机显示名字---XP)，被骗的叫B（XP-TOMATO）。

1、先看一下两个系统的概况！

2、A开始欺骗，B被骗了，这时候不用说了都知道会怎么样了！

3、B（被骗的）安装微点！

4、微点装好了，但是竟然不能获得正确的MAC地址。。汗。。。。。

结果发现微点的绑定效果等同于arp -s。。。。。。

6、好了。微点开始干活了，A也要干活了！！！

A开始欺骗，开始是断网1分钟，后来改了永远！！

B再微点的保护下网络正常！

7、由于想到有的病毒会远程清空arp缓存，类似arp -d的作用（说实话，有没有这种病毒我都不知道，应该有吧，没有最好），就想试一下清空后的效果，就手动清空了本地缓存！！

结果。。。。。。。

我在这时候才知道微点的神奇的右键无处不在（就是在左边空白区点右键，会有添加、修改、删除）。。。汗。。。。。

http://www.mpfans.org/attachment ... de2DJ3SBBCUvsdE.jpg

总结：微点可以防御部分arp病毒（前提是要装在没被骗的机子上，还要绑定正确的网关），但是对能远程清空缓存的就没用了！！！！

对微点：不知道微点绑定是通过什么手段实现的，但是就我这次测试来说，很失败，重新绑定都死活绑定不了。。。难道是我RP问题？？？如果不是RPWT，希望微点能改进！

虽然对arp微点还要加强，但是微点的墙并不弱！！微点的墙简约而不简单，过微点的墙比过他的主防还难

PS：我不是搞程序的，只是个点饭，有什么不对的地方请大家指教，（其实我的环境用不着，但是当网络用有arp欺骗的时候，我会用他找到哪个机子中毒了）。

[ Last edited by hanker on 2009-3-10 at 09:17 ]

作者: simonfour 时间: 2009-3-1 20:00
LZ是不是有句话没转过来啊！！！

作者: zgtp 时间: 2009-3-3 12:58
多听听没有错

作者: hanker 时间: 2009-3-4 09:36
我基本没看此贴，看看了上面和下面，中间基本没看。
我说了很多次ARP欺骗了，为什么到现在还有人在测试这个？
大家有空可以去看看本区置顶帖，对于ARP欺骗属于网络行为，如果是你本机中了ARP欺骗病毒，这微点是完全能做掉的。

微点找你网关，如果是被欺骗的，肯定找的是被欺骗过的网关MAC，当然可以手工添加MAC地址。这只能是单项的，现在ARP欺骗都是双向的，解决方法，再重复一次，本地绑定网关，网关回绑本地，就可以了。

作者: 御剑临风 时间: 2009-3-4 11:50
没有完美软件，多听听群众意见。

作者: zgtp 时间: 2009-3-4 17:18
同意落上意见

作者: zzirong 时间: 2009-3-5 09:48

Quote:

Originally posted by hanker at 2009-3-4 09:36:
本地绑定网关，网关回绑本地，就可以了

听不大明白

作者: hanker 时间: 2009-3-5 09:54

Quote:

Originally posted by 御剑临风 at 2009-3-4 11:50:
没有完美软件，多听听群众意见。

群众意见是要听的，但是要看什么问题，关于这种网络行为问题，不是单一软件能做成的

作者: simonfour 时间: 2009-3-5 16:59
本来测试的时候就是想看看微点的绑定具体的表现，没想着说什么。但是做完后才发现有可以改进的地方！

首先：是网络行为，但是最终的点是本地。
其次：微点既然提供了绑定，本地绑定就应该做好。

arp墙能在被欺骗后获得正确的网关MAC，为什么微点不能？难道要我联系网管给他们要MAC？？？？？

微点在绑定上存在问题，斑斑应该看到了吧，arp要两变绑定才算完美，但是难道就因为这个微点的绑定问题就可以忽视？？？

感觉HANKER斑斑误解了我的意思！

作者: simonfour 时间: 2009-3-5 17:00
LZ，你什么时候才能把帖子原地址补上？？？我说了转贴要带原地址，你应该看到了吧！！！

作者: norman6810 时间: 2009-3-6 19:14
请楼主在转帖的时候注明出处，这个帖子是点饭首发，我可是看过的喔！

作者: zgtp 时间: 2009-3-8 15:28
楼主厉害---支持东方微点---也支持你发帖---谢谢

作者: hanker 时间: 2009-3-8 16:38

Quote:

Originally posted by simonfour at 2009-3-5 16:59:
本来测试的时候就是想看看微点的绑定具体的表现，没想着说什么。但是做完后才发现有可以改进的地方！

首先：是网络行为，但是最终的点是本地。
其次：微点既然提供了绑定，本地绑定就应该做好。

arp墙能在 ...

这位仁兄说的也有一定道理，ARP欺骗的原理就不多说了，微点防火墙绑定mac地址我没有测试过，我感觉根据微点的做法应该是只简单的检测下网关，如果这个时候被欺骗，那微点得到的网关地址是被欺骗过的（不是真正的网关，这可能就是微点提供一个手动添加网关的目的）。如果微点能不断的刷新网关我想也能得到真正的mac地址，但是这种手法我认为不可取，这就是原来某个学校部署了瑞星防火墙（包含ARP欺骗）学校都瘫痪了，查到最后，原来像ARP防火墙作怪。
ARP防火墙在我看来根本就不可取，我很深信一篇文章，推荐楼主有空看下。
http://bbs.micropoint.com.cn/showthread.asp?tid=21575&fpage=4

作者: simonfour 时间: 2009-3-9 17:34
我的意见是开始获取的时候刷出正确的MAC，获取到后绑定（获取到后便不在发送数据包），然后微点监视缓存，当缓存被更改是，拒绝或者马上改回来！！！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn