windows 下防御ARP 的新方法
最近分析了常见的ARP 攻击工具,基本分2种,一种就是需要winpcap .一种就是自带了库文件,但是基本就是常见的那几个,系统里禁止调用基本接可以解决决大数的ARP 问题 高见,不过不可行。 已经成功案例 禁止wincap只是禁止了你的机器不发出ARP攻击,而如果别的机器用ARP攻击你,你却没有任何防御能力。如果你能控制网络中的每一台机器,所有的机器都禁止了WINCAP,这应该是可以的。
就像如果发生禽流感,那么把所有的禽杀掉,自然可以消灭掉,但如果我们每个人都具有了完全免疫力,那么我们杀鸡还需要埋掉吗?
[ 本帖最后由 ssffzz1 于 2006-11-28 16:00 编辑 ] 我提供的是一种新的解决思路,当然我的要求是局域网内全部禁止wincap以及类似功能的库文件,我这样做的效果比其他做PPPOE 以及双向绑定后的效果应该更好一些,因为做PPPOE、双向绑定都是治标不治本,因为ARP包还在网内大量发送,如果发送猛烈一点,对于MAC 缓存只有8K 的普通交换机来说,是很容易造成拥塞的。
当然利用这个思路可以做一些另外的软件,直接做一个底层驱动,采用服务器和客户端的模式,只允许合法的、列表存在的ARP 包的发送和动态更新,类似软件比如ARP 士兵(可是太贵了JS)、彩影等
[ 本帖最后由 txwwy 于 2006-11-28 16:08 编辑 ] 因为很多地方和很多时候是不能够采取PPPOE 方式的 如果在网吧采用会不会 说 某些时候网管要用某些软件 (在被禁用的客户机中) ,而不能正常使用?
以前试过作母盘的时候用NTFS权限 把 Pcap的文件设置为禁止访问,后来不记得什么原因 ,没有继续使用。 我的哪些成功案例就是在网吧用的 想办法禁winpcap还还理解,但人家自带库文件怎解决? 既然能控制电脑何必如此麻烦.Windows可以完全禁止ARP协议的,ROS和Linux当然也可以了,全网禁止ARP协议,有何来ARP病毒,相信比你的方法简单吧. 楼上的是神...............................................................................................................经病 只要全绑定~不需要ARP协议再解析的话~是可以禁止ARP协议地~~~ 原帖由 benben418 于 2006-11-29 00:46 发表
只要全绑定~不需要ARP协议再解析的话~是可以禁止ARP协议地~~~
你似乎忘记了普通交换机会自动学习的功能,如果ARP病毒总是广播不正确的ARP包,会扰乱交换机的ARP列表,那就算你的机器没有被欺骗,到了交换机同样会发送到错误的端口上! 原帖由 benben418 于 2006-11-29 00:46 发表
只要全绑定~不需要ARP协议再解析的话~是可以禁止ARP协议地~~~
你说的在道理上是没错,但在网吧就等于没可能了。况且.....怎么个彻底禁止ARP法? 什么禁止wincap啊大哥能不能教教我啊
页:
[1]
2