微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 防火墙 » 关于微点的墙----绑定MAC  

作者:
标题: 关于微点的墙----绑定MAC
simonfour
高级用户

打酱油的!!


积分 926
发帖 926
注册 2008-3-8
#1  关于微点的墙----绑定MAC

昨天做了个测试!http://www.mpfans.org/thread-29478-1-1.html
(帖子就不转了,试了半天转不了图)!

说一下测试的时候发现的问题!

1、在主机已经被欺骗后,运行微点绑定MAC,微点得到的试错误的网关---MAC关系!

个人意见:微点先获取本地网关IP,再向网关发送查询请求得到正确MAC而不是调用arp缓存的网关---MAC,因为这时候已经被欺骗了!
还有就是检查本地缓存,如果某个IP的MAC和网关的MAC一样,那么可以确定那个IP就是攻击者,所有和攻击者的MAC建立关系的数据包全部丢弃!



2:在运行了arp -d命令后,再怎么操作微点的MAC绑定,都没办法真正的绑定了(可以看测试贴),

个人意见,在微点的绑定界面添加一个选项《保护arp缓存》,防止被清空,或者监视缓存,发现被更新后马上更新回去!!


既然做了,就要做好,要不然就不要做,就测试而言,微点防ARP确实还有很多要做!希望能做的和主防一样出色!!

※ ※ ※ 本文纯属【simonfour】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-28 17:55
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

非常感谢您详细的测试,并提出建议,我们会根据您反馈的信息测试下!

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-2-28 18:03
查看资料  发短消息   编辑帖子
hanker
版主

永远的偶像


积分 963
发帖 929
注册 2007-2-28
#3  

对于ARP欺骗其实某种程度上超出了微点的防御范围,ARP欺骗是网络行为,如果本地中arp病毒那又是另外一回事,对于ARP病毒相信楼主也了解,这种情况最好还是找网管来处理下,测试 ARP欺骗的话,还是别用微点测试了...........

如果楼主忠于某种ARP防火墙的话,那我可没话说了。

※ ※ ※ 本文纯属【hanker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-28 19:46
查看资料  发送邮件  发短消息   编辑帖子
simonfour
高级用户

打酱油的!!


积分 926
发帖 926
注册 2008-3-8
#4  



  Quote:
Originally posted by hanker at 2009-2-28 19:46:
对于ARP欺骗其实某种程度上超出了微点的防御范围,ARP欺骗是网络行为,如果本地中arp病毒那又是另外一回事,对于ARP病毒相信楼主也了解,这种情况最好还是找网管来处理下,测试 ARP欺骗的话,还是别用微点测试了. ...

呵呵,我想你也看了我的那个测试贴!!

我测试微点主要试由于微点提供了这个功能(虽然名字不叫防arp),既然提供了就应该做好。

再说了,就单从名字上来说,绑定MAC,结果却连绑定都没做好,说不过去吧!


最后再声明一下,我没有忠于哪个arp墙甚至说哪个软件,微点是我第一个花自己的钱买的正版软件。而且测试里我也说了,一般不用,只有在处理网内攻击的时候才用,因为我是网管!!

※ ※ ※ 本文纯属【simonfour】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-28 20:15
查看资料  发送邮件  发短消息   编辑帖子
simonfour
高级用户

打酱油的!!


积分 926
发帖 926
注册 2008-3-8
#5  

对于本地中了arp,我知道微点可以处理,我就用微点处理过一例(arp墙确定的攻击源,微点解决的病毒)!!!

※ ※ ※ 本文纯属【simonfour】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-28 20:17
查看资料  发送邮件  发短消息   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#6  我转过来了

转载请注明出处http://www.mpfans.org/thread-29478-1-1.html


主要是为了测试微点的防arp病毒的效果!!因为没有样本,所以就用了同样是arp欺骗原理的《聚生网管》来当病毒!
(但是有一点,聚生好像是不会清空远程机子的arp缓存,有的病毒却会这样做,结果却是不一样的,后面再说)!
环境:两个虚拟机系统,装聚生的叫A(虚拟机显示名字---XP),被骗的叫B(XP-TOMATO)。




1、先看一下两个系统的概况!




2、A开始欺骗,B被骗了,这时候不用说了都知道会怎么样了!




3、B(被骗的)安装微点!

4、微点装好了,但是竟然不能获得正确的MAC地址。。汗。。。。。

5、由于找不到手工绑定的地方,只好先停止A的聚生,让微点获得正确的MAC并绑定(后来才知道怎么手工绑定的)。




结果发现微点的绑定效果等同于arp -s。。。。。。


6、好了。微点开始干活了,A也要干活了!!!

A开始欺骗,开始是断网1分钟,后来改了永远!!




B再微点的保护下网络正常!




7、由于想到有的病毒会远程清空arp缓存,类似arp -d的作用(说实话,有没有这种病毒我都不知道,应该有吧,没有最好),就想试一下清空后的效果,就手动清空了本地缓存!!


结果。。。。。。。




我在这时候才知道微点的神奇的右键无处不在(就是在左边空白区点右键,会有添加、修改、删除)。。。汗。。。。。






总结:微点可以防御部分arp病毒(前提是要装在没被骗的机子上,还要绑定正确的网关),但是对能远程清空缓存的就没用了!!!!

对微点:不知道微点绑定是通过什么手段实现的,但是就我这次测试来说,很失败,重新绑定都死活绑定不了。。。难道是我RP问题???如果不是RPWT,希望微点能改进!



虽然对arp微点还要加强,但是微点的墙并不弱!!04和小宋说过,微点的墙简约而不简单,过微点的墙比过他的主防还难(04和小宋不会对我有意见吧)


PS:我不是搞程序的,只是个点饭,有什么不对的地方请大家指教。我防arp用antiarpsniffer,个人觉得挺好用的,(其实我的环境用不着,但是当网络用有arp欺骗的时候,我会用他找到哪个机子中毒了)。

[ Last edited by qq200878 on 2009-3-1 at 10:42 ]

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-1 10:41
查看资料  发送邮件  发短消息   编辑帖子
zgtp
银牌会员




积分 1435
发帖 1389
注册 2009-3-2
#7  

看了--学习了

※ ※ ※ 本文纯属【zgtp】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方微点→【走自己的路 用实力说话】 看帖回帖是微点会员的美德。
2009-3-3 13:00
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号