windows 下防御ARP 的新方法

txwwy · 发表于 2006-11-28 14:47:51

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

最近分析了常见的ARP 攻击工具，基本分2种，一种就是需要winpcap .一种就是自带了库文件，但是基本就是常见的那几个，系统里禁止调用基本接可以解决决大数的ARP 问题

ssffzz1 · 发表于 2006-11-28 14:51:21

高见，不过不可行。

txwwy · 发表于 2006-11-28 15:07:28

已经成功案例

ssffzz1 · 发表于 2006-11-28 15:17:39

禁止wincap只是禁止了你的机器不发出ARP攻击，而如果别的机器用ARP攻击你，你却没有任何防御能力。
如果你能控制网络中的每一台机器，所有的机器都禁止了WINCAP，这应该是可以的。

就像如果发生禽流感，那么把所有的禽杀掉，自然可以消灭掉，但如果我们每个人都具有了完全免疫力，那么我们杀鸡还需要埋掉吗？

[ 本帖最后由 ssffzz1 于 2006-11-28 16:00 编辑 ]

txwwy · 发表于 2006-11-28 16:07:19

我提供的是一种新的解决思路，当然我的要求是局域网内全部禁止wincap以及类似功能的库文件，我这样做的效果比其他做PPPOE 以及双向绑定后的效果应该更好一些，因为做PPPOE、双向绑定都是治标不治本，因为ARP包还在网内大量发送，如果发送猛烈一点，对于MAC 缓存只有8K 的普通交换机来说，是很容易造成拥塞的。

当然利用这个思路可以做一些另外的软件，直接做一个底层驱动，采用服务器和客户端的模式，只允许合法的、列表存在的ARP 包的发送和动态更新，类似软件比如ARP 士兵（可是太贵了JS）、彩影等

[ 本帖最后由 txwwy 于 2006-11-28 16:08 编辑 ]

txwwy · 发表于 2006-11-28 16:07:57

因为很多地方和很多时候是不能够采取PPPOE 方式的

host2318 · 发表于 2006-11-28 16:28:07

如果在网吧采用会不会说某些时候网管要用某些软件（在被禁用的客户机中），而不能正常使用？

以前试过作母盘的时候用NTFS权限把 Pcap的文件设置为禁止访问，后来不记得什么原因，没有继续使用。

txwwy · 发表于 2006-11-28 16:43:16

我的哪些成功案例就是在网吧用的

seignior · 发表于 2006-11-28 18:13:15

想办法禁winpcap还还理解，但人家自带库文件怎解决？

ssffzz1 · 发表于 2006-11-28 19:22:43

既然能控制电脑何必如此麻烦.Windows可以完全禁止ARP协议的,ROS和Linux当然也可以了,全网禁止ARP协议,有何来ARP病毒,相信比你的方法简单吧.

seignior · 发表于 2006-11-28 19:28:39

楼上的是神...............................................................................................................经病

benben418 · 发表于 2006-11-29 00:46:14

只要全绑定~不需要ARP协议再解析的话~是可以禁止ARP协议地~~~

专卖精品 · 发表于 2006-11-29 00:50:12

原帖由 benben418 于 2006-11-29 00:46 发表
只要全绑定~不需要ARP协议再解析的话~是可以禁止ARP协议地~~~

你似乎忘记了普通交换机会自动学习的功能，如果ARP病毒总是广播不正确的ARP包，会扰乱交换机的ARP列表，那就算你的机器没有被欺骗，到了交换机同样会发送到错误的端口上！

seignior · 发表于 2006-11-29 00:53:35

原帖由 benben418 于 2006-11-29 00:46 发表
只要全绑定~不需要ARP协议再解析的话~是可以禁止ARP协议地~~~

你说的在道理上是没错，但在网吧就等于没可能了。况且.....怎么个彻底禁止ARP法？

dingbaohu · 发表于 2006-11-29 01:30:31

什么禁止wincap啊大哥能不能教教我啊

账号		自动登录	找回密码
密码			注册

[其它] windows 下防御ARP 的新方法

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。