»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
防火墙
» 关于微点的墙----绑定MAC
作者:
标题: 关于微点的墙----绑定MAC
simonfour
高级用户
打酱油的!!
积分 926
发帖 926
注册 2008-3-8
#1
关于微点的墙----绑定MAC
昨天做了个测试!
http://www.mpfans.org/thread-29478-1-1.html
(帖子就不转了,试了半天转不了图)!
说一下测试的时候发现的问题!
1、在主机已经被欺骗后,运行微点绑定MAC,微点得到的试错误的网关---MAC关系!
个人意见:微点先获取本地网关IP,再向网关发送查询请求得到正确MAC而不是调用arp缓存的网关---MAC,因为这时候已经被欺骗了!
还有就是检查本地缓存,如果某个IP的MAC和网关的MAC一样,那么可以确定那个IP就是攻击者,所有和攻击者的MAC建立关系的数据包全部丢弃!
2:在运行了arp -d命令后,再怎么操作微点的MAC绑定,都没办法真正的绑定了(可以看测试贴),
个人意见,在微点的绑定界面添加一个选项《保护arp缓存》,防止被清空,或者监视缓存,发现被更新后马上更新回去!!
既然做了,就要做好,要不然就不要做,就测试而言,微点防ARP确实还有很多要做!希望能做的和主防一样出色!!
※ ※ ※ 本文纯属【simonfour】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-28 17:55
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#2
非常感谢您详细的测试,并提出建议,我们会根据您反馈的信息测试下!
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2009-2-28 18:03
hanker
版主
永远的偶像
积分 963
发帖 929
注册 2007-2-28
#3
对于ARP欺骗其实某种程度上超出了微点的防御范围,ARP欺骗是网络行为,如果本地中arp病毒那又是另外一回事,对于ARP病毒相信楼主也了解,这种情况最好还是找网管来处理下,测试 ARP欺骗的话,还是别用微点测试了...........
如果楼主忠于某种ARP防火墙的话,那我可没话说了。
※ ※ ※ 本文纯属【hanker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-28 19:46
simonfour
高级用户
打酱油的!!
积分 926
发帖 926
注册 2008-3-8
#4
Quote:
Originally posted by
hanker
at 2009-2-28 19:46:
对于ARP欺骗其实某种程度上超出了微点的防御范围,ARP欺骗是网络行为,如果本地中arp病毒那又是另外一回事,对于ARP病毒相信楼主也了解,这种情况最好还是找网管来处理下,测试 ARP欺骗的话,还是别用微点测试了. ...
呵呵,我想你也看了我的那个测试贴!!
我测试微点主要试由于微点提供了这个功能(虽然名字不叫防arp),既然提供了就应该做好。
再说了,就单从名字上来说,绑定MAC,结果却连绑定都没做好,说不过去吧!
最后再声明一下,我没有忠于哪个arp墙甚至说哪个软件,微点是我第一个花自己的钱买的正版软件。而且测试里我也说了,一般不用,只有在处理网内攻击的时候才用,因为我是网管!!
※ ※ ※ 本文纯属【simonfour】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-28 20:15
simonfour
高级用户
打酱油的!!
积分 926
发帖 926
注册 2008-3-8
#5
对于本地中了arp,我知道微点可以处理,我就用微点处理过一例(arp墙确定的攻击源,微点解决的病毒)!!!
※ ※ ※ 本文纯属【simonfour】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-28 20:17
qq200878
中级用户
积分 456
发帖 452
注册 2007-11-17
#6
我转过来了
转载请注明出处
http://www.mpfans.org/thread-29478-1-1.html
主要是为了测试微点的防arp病毒的效果!!因为没有样本,所以就用了同样是arp欺骗原理的《聚生网管》来当病毒!
(但是有一点,聚生好像是不会清空远程机子的arp缓存,有的病毒却会这样做,结果却是不一样的,后面再说)!
环境:两个虚拟机系统,装聚生的叫A(虚拟机显示名字---XP),被骗的叫B(XP-TOMATO)。
1、先看一下两个系统的概况!
2、A开始欺骗,B被骗了,这时候不用说了都知道会怎么样了!
3、B(被骗的)安装微点!
4、微点装好了,但是竟然不能获得正确的MAC地址。。汗。。。。。
5、由于找不到手工绑定的地方,只好先停止A的聚生,让微点获得正确的MAC并绑定(后来才知道怎么手工绑定的)。
结果发现微点的绑定效果等同于arp -s。。。。。。
6、好了。微点开始干活了,A也要干活了!!!
A开始欺骗,开始是断网1分钟,后来改了永远!!
B再微点的保护下网络正常!
7、由于想到有的病毒会远程清空arp缓存,类似arp -d的作用(说实话,有没有这种病毒我都不知道,应该有吧,没有最好),就想试一下清空后的效果,就手动清空了本地缓存!!
结果。。。。。。。
我在这时候才知道微点的神奇的右键无处不在(就是在左边空白区点右键,会有添加、修改、删除)。。。汗。。。。。
总结:微点可以防御部分arp病毒(前提是要装在没被骗的机子上,还要绑定正确的网关),但是对能远程清空缓存的就没用了!!!!
对微点:不知道微点绑定是通过什么手段实现的,但是就我这次测试来说,很失败,重新绑定都死活绑定不了。。。难道是我RP问题???如果不是RPWT,希望微点能改进!
虽然对arp微点还要加强,但是微点的墙并不弱!!04和小宋说过,微点的墙简约而不简单,过微点的墙比过他的主防还难(04和小宋不会对我有意见吧)
PS:我不是搞程序的,只是个点饭,有什么不对的地方请大家指教。我防arp用antiarpsniffer,个人觉得挺好用的,(其实我的环境用不着,但是当网络用有arp欺骗的时候,我会用他找到哪个机子中毒了)。
[
Last edited by qq200878 on 2009-3-1 at 10:42
]
※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-1 10:41
zgtp
银牌会员
积分 1435
发帖 1389
注册 2009-3-2
#7
看了--学习了
※ ※ ※ 本文纯属【zgtp】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
东方微点→【走自己的路 用实力说话】 看帖回帖是微点会员的美德。
2009-3-3 13:00
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号