微点交流论坛 - 防火墙 - 我的arp防御方法-防止Arp攻击客户端和服务端防御(转)

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 防火墙 » 我的arp防御方法-防止Arp攻击客户端和服务端防御(转)

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

#1 我的arp防御方法-防止Arp攻击客户端和服务端防御(转)

在我的知识里ARP攻击主要是伪造网关的IP和MAC，原来出现在一些传奇外挂中，当年此现象特别严重。原理大概是某台中毒的机器.欺骗了其他客户机~让所有数据从中毒的机器中转了一次.然后拦载病毒想要的信息`最后再把数据传给真正的网关。如果这台机器关机了~这台机器的IP和MAC失效`所有客户机就出现掉线现象。典型特征是掉线时~客户机执行ARP –D命令~清空ARP缓存表。再重新PING一下网关~又通了~因为清除ARP缓存表后`错误的网关MAC被清空~客户机重新认到了真正的网关.所以就这样结束。
服务端中毒原理同样,客户机的MAC被欺骗更改.导致无法通迅.客户机掉线.
在我的知识里。起码能做的就是服务端和客户端的对绑。基本可以解决问题。坦白的说我对绑后再也没有出现问题。至于其他朋友如果对绑后出现问题。我们可以再交流学习一下。
客户端的绑定很简单.

绑定好后的结果如

网关后面是static静态.不像其他机器是dynmaic动态
静态绑定后的ip-mac是不再学习的`
不过出现问题的可能性是聪明的病毒有可能去做一次arp –d清空arp缓存表的命令.

这样我们的绑定就白做了.这点让人头疼`所以我按照其他朋友的说法
一秒绑定一次`个人在使用感觉中并没有感觉有玩什么游戏会出现卡的现象~ 效果也还可以。因为也没有再掉过线。所以估且说我的经验给大家听一下`感觉比一秒执行一次批处理好一点`省一点资源~我只能说在使用感觉中~因为我同样用批处理一秒绑一次`结果在一些游戏中出现了卡的现象.

所以就找了一个小工具
http://www.wjqblog.com/up/arpguard.rar
大家可以下载到
使用方法是

写明你的服务器路径.服务器开个共享,建立一个叫mac的文件夹下面建立一下mac.ini文件,方便你服务器位置的变动

服务端也很简单`写个你的网关ip mac就结束了,方便你将来路由有可能的变化
开机10秒后启动,因为个别XP会出现启动后网络不通的现象

工作做好后双击执行.看一下效果

死绑定结束.

但这样的缺点是这个进程可能随时被结束.
所以我试用工具把他做成了服务
需要的工具下载
http://www.wjqblog.com/up/service.rar

加服务的教程在
http://www.wjqblog.com/index.php ... d=a_20051201_162128

简介
首先在局域网中的Windows 2000服务器中安装好瑞星个人网络防火墙。接着运行Windows 2000资源工具箱中的“srvinstw.exe”，弹出“Install/Remove Server”向导对话框，然后选择“Install a Server”(添加一个服务)单选项，点击“下一步”按钮后，选择“Local Machine”单选项，这样就可以开始着手将瑞星个人网络防火墙配置成局域网中本地服务器的一个系统服务，点击“下一步”按钮后，在“Server Name”对话框中为该服务起个名字(如“RFW”)。

　　接着要为该服务选择执行文件，这里要注意不能选择瑞星个人网络防火墙的主程序“rfw.exe”，因为在设计它时没有考虑到当作系统服务使用。现在使用“srvany.exe”可以解决这个难题，点击“Browse”按钮找到“srvany.exe”文件。接下来，小胖选择“Server is its own process”单选项，这样该程序就被定义为独立进程运行状态了，点击“下一步”按钮，选择“System Account”单选项。同时，指定该服务以“Automatic”(自动)方式运行，免去手工启动的麻烦。最后，点击“完成”按钮即可。

　　第二步:修改注册表

　　完成了系统服务的添加操作后，“RFW”服务还不能正常运行，必须修改Windows 2000服务器的注册表。打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\ services”，找到“RFW”项目，在该项下面新建一个名为“Parameters”的项目，接着在“Parameters”项下新建一个类型为字符串值的“application”子键，该键值为瑞星个人网络防火墙主程序“rfw.exe”的磁盘路径，最后重新启动Windows 2000服务器。

　　通过上述设置，小胖已将局域网内共享服务器中的瑞星个人网络防火墙变成服务器的一个系统服务了。它默认在后台运行，不用登录Windows 2000系统即可启动它

最后的效果如

是我最终想要的结果~客户端静态的一秒一次绑定网关的MAC~并且程度不会被轻易结束~这是客户端能做到的，这样客户端就不会再学习其他的欺骗的网关MAC了

服务端。
讲一下常用的routeros绑定方法~其他路由类似

一直做到ip mac前的d合部结束为止
D就是dymanic动态~把全场所有的动态取消~绑定一下。

最后interface-内网网卡-arp模式-选择reply-only不再学习~
你的路由也安全了~不会再学习新的MAC。
欺骗的mac不接受
这样对绑就结束了~说一下简单的防于网络执法官的方法

新建一个packet.dll的文件夹
权限设置成

清空~无人能操作
网络执法官旧版的wincap驱动需要这个关键文件~不能操作覆盖就装不下去`也运行不了`。能达到小有效果的防范~一卡通的使用者不要学习这个东西。一卡通就需要wincap驱动。无语。。。。。。

如果通过以上办法还是没有解决ARP攻击的话`我只能说你真的很命苦`把全场交换机换了吧`TPLINK的24口百M可网管交换机也没多贵 ~1000块左右.该有的功能也都有`镜像~静态MAC，TRUNK~我想大部分人还是使用百M交换机的`全场换了~做静态MAC+端口安全

把你的24个口全部绑定吧`根本解决办法~造价高`个人觉得意义不大~太贵~不过我这还是全场换的可网管交换`当以上服务端和客户端能做的都做了`依然解决不了时`。那就放点血吧`呵呵~让你永远不烦神`。

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟……

2007-8-6 09:46

jobcreep
银牌会员

我的昵称：小爬

积分 2527
发帖 2527
注册 2007-7-13
来自陕西西安

#2

高手，就是我太菜，看不懂

※ ※ ※ 本文纯属【jobcreep】个人意见，与【微点交流论坛】立场无关※ ※ ※

在蓝天下
献给你
我最好的年华！
我的博客“杂货铺”，普天之下，没有我不关心的！
http://hexun.com/jobcreep1899/default.html

2007-8-6 10:54

微点专家
版主

Weizi

积分 11554
发帖 11458
注册 2006-8-27
来自贵阳

Quote:

Originally posted by jobcreep at 2007-8-6 10:54:
高手，就是我太菜，看不懂

英雄所见略同

※ ※ ※ 本文纯属【微点专家】个人意见，与【微点交流论坛】立场无关※ ※ ※

做个性的自己

2007-8-6 14:35

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

#4

ARP防御只有在局域网里产生
使用公网的可以放心
其实局域网内真是危机重重啊

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-6 15:25

zjbtj
注册用户

积分 52
发帖 52
注册 2006-12-8

#5

学习了，最近也是深受ARP病毒的苦，虽然可以用微点的绑定MAC功能防止自己的机器可以不受病毒的欺骗，但因为不能去修改路由器的设置（路由器在房东家里），网络始终是不稳定

※ ※ ※ 本文纯属【zjbtj】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-6 16:59

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号