再论毛豆的防arp功能

guohouzuo

“类似专业ARP防火墙的主动防御功能会增加网络负担，可能会带来网络的不稳定。”

不用arp防火墙的主动防御，可能上不去网~再说网内网管软件攻击发送欺骗包的频率不大，主动防御的速度大部分是自动调节的，所以主动防御不会带来太大的负担，除非你手动给他调成50个包每秒。

“所以从稳定性考虑毛豆不增加这个功能是正确的。”

同意，comodo可别走风云路线。


“但是毛豆确保了正确的网关mac，已经完全能够防止被监视密码、网页
以及流量等而导致的信息泄露（这些功能只有在成功欺骗用户ARP后才能实现）”

但是你想，你从网上下载信息的时候，对方是不是能嗅探到你下载的网页的具体内容呢？假如你刚写个blog，然后想回头去看，这样网关给你机器的流量不就能透露出你的blog内容了么。

“可是这种攻击也有它很明显的局限性，第一，无法获取用户安全信息，对用户来说信息安全是可以保
障的；”

这个。。怎么说呢，假如有哪个网站，他会在网页中回显一些机密信息，。。就糟糕了~

“第二，这种攻击不具备隐蔽性，无法实现限制用户网速的功能，只能刚性的断网处理，用户很自然
的会去排除故障（很可能采用非技术手段排除，例如请求网管人员解决或者自己瞎折腾关掉猫重启等等，
反正都不是攻击者想看到的效果。）'

这个不可能啦，现在的技术成熟了，我用一个发包器和一个协议分析器就能找到你发的包。断网和限制网速才是他的强项呢，arp墙没有什么反映，而网关却无法发送数据包给正确的地址。

guohouzuo

楼主下次用记事本写完文章之后，关闭自动换行再贴上来

taizitju

guohouzuo 说得有道理
防止窃听 ssl https 是正道

chiseng

原帖由 taizitju 于 2009-6-10 09:41 发表
guohouzuo 说得有道理
防止窃听 ssl https 是正道

ssl  已经可以窃听了，PGP加密个人隐私目前还是比较好的。
网络上，公开的网络上不存在安全。隐私是必然会泄漏的。

223311

那毛豆可以搞一个选项吧，需要的就选，不需要的就放弃。

juju_lin

原帖由 guohouzuo 于 2009-6-9 19:22 发表
“类似专业ARP防火墙的主动防御功能会增加网络负担，可能会带来网络的不稳定。”

不用arp防火墙的主动防御，可能上不去网~再说网内网管软件攻击发送欺骗包的频率不大，主动防御的速度大部分是自动调节的，所以主动 ...

嗯，点评得很好。
对于第二点，我还是坚持的。对于你说的情况，通过编程来实现获取信息的可操作性并不大，特别是密码类的信息大都是用户端输入的。当然对于骨灰级的入侵十个毛豆恐怕也难防住，这个不在讨论内。
第三点关于限制网速的问题，我不与攻击主机发生联系，只跟网关通信，攻方能给本机分配网速？这个有点不可思议

taizitju

原帖由 chiseng 于 2009-6-10 10:32 发表


ssl  已经可以窃听了，PGP加密个人隐私目前还是比较好的。
网络上，公开的网络上不存在安全。隐私是必然会泄漏的。

破解是有条件的是特殊的

juju_lin

原帖由 chiseng 于 2009-6-10 10:32 发表


ssl  已经可以窃听了，PGP加密个人隐私目前还是比较好的。
网络上，公开的网络上不存在安全。隐私是必然会泄漏的。

同意，多用些软件只能说相对更安全些。

akunr

看看，继续学习……

guohouzuo

原帖由 juju_lin 于 2009-6-10 12:21 发表

嗯，点评得很好。
对于第二点，我还是坚持的。对于你说的情况，通过编程来实现获取信息的可操作性并不大，特别是密码类的信息大都是用户端输入的。当然对于骨灰级的入侵十个毛豆恐怕也难防住，这个不在讨论内。
...

确实是这样~客户端给服务器的信息大部分情况下比服务器返回给客户端的信息要不那么重要。

其实限制网速这点，可以这么理解，你给网关发送信息的时候用的是本机的arp缓存，网关给你发送返回的信息要用的是网关的arp缓存，假如网关的arp缓存是不正确的，那么你虽然可以给网关发包但是网关就没法给你发去数据包了，就像你在浏览器敲个网址，网关是收到了你要浏览网页这个请求，但是他没法把网页的内容转给你，因为在网关认为你的ip对应着一个非正确的mac。以太网数据包头14字节是接收者mac和发送者mac和包类型，网关给你发数据包的时候他无法填写正确的接受者mac，所以你无法收到数据包。