找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 9640|回复: 8

能预防ARP攻击的MINIFW讨论

[复制链接]
发表于 2006-8-24 16:08:23 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
能预防ARP攻击的MINIFW讨论

预备在下一个版本中实现MINIFW启动的时候根据DHCP获取的IP/MAC实现自动绑定
主要是预防ARP攻击.各位以为如何?

                               
登录/注册后可看大图
routeros
发表于 2006-8-25 13:12:26 | 显示全部楼层
看着挺眼熟。。
routeros
回复

使用道具 举报

 楼主| 发表于 2006-8-25 14:50:31 | 显示全部楼层

回复 #2 zhangweizj 的帖子

在一款专业级硬件防火墙上我见过类似界面,当时很眼热,因为市面上的防火墙基本上都不具备WEB过滤能力
总想某天能自己做一个防火墙也实现WEB过滤  ,现在终于可以做到了.
   希望能多测试反馈,谢谢
routeros
回复

使用道具 举报

发表于 2006-9-1 20:04:20 | 显示全部楼层
好啊,什么时候出来?
routeros
回复

使用道具 举报

发表于 2006-9-3 13:01:02 | 显示全部楼层
这不是coyote吗?
routeros
回复

使用道具 举报

 楼主| 发表于 2006-9-6 13:08:09 | 显示全部楼层
在网络上许多的LRP计划中的路由器可以说都是由LRP路由器发展的,如BBI  COYOTE  FFW  REBING MINIFW等, COYOTE 由LRP发展的,MINIFW由COYOTE发展的,因为按照LRP计划,所有的TGZ都是按照一个标准定制.
我的外壳还是COYOTE,但是内核变化太大,特别是WEB过滤功能,是以上所有的路由器没有的功能.少数硬件级别的防火墙才具备.
    外科是COYOTE,内核功能远远要强大.
routeros
回复

使用道具 举报

发表于 2006-9-9 20:23:12 | 显示全部楼层

作技术要求踏踏实实,吾看minifirewall----

感觉minifirewall 应为iptables+做一个不缓存的squid(个人猜测)。数据过滤色情过滤离不开netfilter&&squid。
arp干扰这类故障单向绑定是没用的。arp请求是广播形式的,回应才是单向的。
一.讨论过arp干扰的故障解决办法:
1.pppoe接入方式------广泛用于isp,所以你拨号上网不会因为别人而学习到错误的mac。跟子网规划有关,因为全都/32了。
2.隔离广播域,方法有二:a.取消接入交换机的mac地址学习功能,写入只允许通过的ip+对应mac+对应物理端口,(此种交换机相对较贵)b.子网/32位地址或同理vlan隔离每一个ip的广播包不到达"兄弟及表兄"位置计算机。
二.包过滤:
应用范围相对较窄,地市级别二级isp经常采用的方法,以用来砍掉相当的流量接入更多用户来缓解不菲的出口租赁费用。动起来流量一般也要G级别的,首先suuid不能胜任,即使是不cache的。多台作bridge加聚合应该可以。内容过滤最好要l7+正则,毕竟squid不是干内容过滤的。至于squid跨掉时排错比较摸不出头绪。
三.应用场合:
60台以上的单位、学校用户。
呵呵,毕竟是自己做的而且实现了预期功能,大概的确是作者的乐趣吧,佩服佩服。
routeros
回复

使用道具 举报

 楼主| 发表于 2006-9-10 11:45:35 | 显示全部楼层

回复 #7 hb2k 的帖子

版主:
你的猜测水平比较高,的确需要使用透明代理.
不过SQUID是无法探测病毒 木马 和色情内容等.只能使用卡巴斯基或者CLAMD内嵌入MINIFW路由器内才能探测客户机浏览网页中包含的木马或者病毒,然后告诉WEB过滤软件进行拦截.

因此这个过程严格的说需要四个软件支持
数据包->IPTABLES->PROXY->WEB过滤器内容识别->杀毒软件软件**->WEB过滤器通过标记->客户机

我读很多文章后,有下列个人看法,不知道是否正确.

1)SQUID是无法实现色情过滤的,只是一个桥梁PROXY,最多能过滤如SEX等字符而已,可以说非常初级.
2)ARP绑定是双向的,因此我保护的是MINIFW路由器.客户机必须自己使用批处理文件绑定.当然使用克隆版本是最好的方法.ARP攻击一般都是局域网内部病毒或者恶意的人做.
3)L7过滤功能非常弱,不是"真正"的WEB过滤.目前网络世界中可能只有两个软件能实现"true web filtering"
目前国外的商业防火墙很多都购买的这两个WEB过滤器软件.

例如 SQUIDWALL SQUIDGUARD;
ROUTOS也曾经购买过这个WEB过滤器,但没有做好

因此我淘汰TC的流量控制和L7filter,在非ISP的网络中用处不大.
4)我自己使用的过滤300台(包含病毒过滤.色情过滤),还有100台没有做过滤.300台要慢,主要对学生机器.
5)我做ARP绑定主要也是参考过这个论坛的关于ARP的文章,好像就是版主写的.
关于arp_send不能防止ARP攻击的文章,所以仔细考虑并没有把这个程序加入,而是在MINIFW启动的时候根据DHCP服务器的IP/MAC绑定,保证路由器本身不要被攻击.
6)在DHCP服务器中也可以实现VLAN划分!广播风暴很小.对于学校网吧等可以节约一台贵的交换机.

[ 本帖最后由 aijun 于 2006-9-10 12:19 编辑 ]
routeros
回复

使用道具 举报

 楼主| 发表于 2006-9-11 10:25:29 | 显示全部楼层

L7FILTER 我也准备再次编译最新的

你的建议我也很感兴趣.
   我一直用IPT_IPP2P.O过滤P2P软件
   看了l7filter ,的确是使用正则表达式过滤,仔细**确定无法过滤加密网页的内容.其实我使用的WEB过滤器本来也无法过滤.我修改了老外的源代码,让它把.JS 中的加密信息也当HTML文件过滤,总算解决了脚本中的未知木马.
  但IPT_IP2P也有局限.
   刚才下载的最新L7filter, baibo ,kuoo xunlei 等都可以过滤.解决80端口看来很好.我将编译一次L7FILTER.如果能为大家造福,也很好.
   以后希望版主多提建议,你是轻易不发表帖子的.

[ 本帖最后由 aijun 于 2006-9-11 10:28 编辑 ]
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-25 23:33 , Processed in 0.066200 second(s), 14 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表