查看: 2818|回复: 7
收起左侧

[讨论] 谈谈mcafee8.5I+企业严厉版规则的使用情况。(欢迎有做网管的朋友们进来看看)

[复制链接]
tcafei
发表于 2007-4-2 18:22:15 | 显示全部楼层 |阅读模式
在用小邪邪的企业严厉版规则的情况下,我自己的机子已经开启了A86规则。添加了不少自己的常用程序,感觉还可以。今天给做网站的同事安装了mcafee8.5i,因为工作的关系,不会给我太多的时间,结果他们许多的常用软件安装完成后,一个个排除实在太累了,不知这里有没有做网管的兄弟,你们是怎么用mcafee的?


个人感觉mcafee的易用性实在远不如卡吧,且如果不用规则的话,感觉mcafee实在不如卡吧。


第二个事情是今天下午不知怎么的中毒了,在temp文件夹下,有个update1.exe到update9.exe的程序在一直运行,触犯A86规则,删又删不掉,msconfig后发现它竟然自动添加了几个运行项,因为我是做网管的,不时要运行一些程序,可能是因为禁用过的关系。竟然自己修改了启动项,于是想要把它给在msconfig中去掉,结果改这么一个东西,竟然要去掉4到5条规则,才能改msconfig,真是郁闷,注销后终于把它给删掉了。
此事有两个疑问,一:若是卡吧,会不会被直接搞定?
               二:如果没有开启a86,是不会我就死掉了?

               
ps:小邪邪是做什么的啊?你是参考着什么写的企业版的规则包?


袄,还有一个问题,mcafee对arp欺骗有什么防护办法没?

=====================================
二楼的,比如说排除phootshop问题,他有好几个exe文件要排除,如果规则基本全开的情况下,那么至少要在三个地方排除,1:将所有共享设为只读。2禁止更改所有文件的扩展名和注册3:a86规则、4:好像还要在禁止在prgram中创建可执行文件。二楼的,你排除文 件夹是什么意思?如何去做?

小邪邪,偶知道你历害,能不能说说你会怎么做啊???在企业中装mcafee?
真倒霉,今天下午arp在网络中泛滥,temp文件夹下又看到了update8。exe

[ 本帖最后由 tcafei 于 2007-4-3 17:51 编辑 ]
idey
发表于 2007-4-2 18:32:00 | 显示全部楼层
现在排除不是直接排除文件夹吗?
小邪邪
发表于 2007-4-2 18:41:50 | 显示全部楼层
这个很难说,相同的情况如果让我碰上的话或许不会有事
其实最强的,最关键的因素还是人(只能这么说了)
baobaoi_110
发表于 2007-4-4 18:32:43 | 显示全部楼层
不知道楼主看到小邪邪的话会不会抓狂
秘书
发表于 2007-4-5 21:17:24 | 显示全部楼层
呵呵 版主幽摸了一把 不过地却是没说错 楼主别声起 好好学习 天天向上
sxingbai
发表于 2007-4-5 21:20:55 | 显示全部楼层
temp文件夹文件夹下的程序禁止运行
sxingbai
发表于 2007-4-5 21:22:32 | 显示全部楼层
就是排除整个文件夹下的文件
neu21
发表于 2007-4-5 22:46:38 | 显示全部楼层
arp防护用风云的防火墙效果还行


方式1:
一   将system32里面的packet.dll pthreadVC.dll wpcap.dll 3个dll文件 与system32\drivers里面的npf.sys 改变并设置为无法访问,用于阻止winpcap的安装与执行。
     缺点:只能针对需要winpcap安装的程序,如:网络执法官。无法限制病毒的运行。

二  将system32里面的npptools.dll改变并设置无法访问,用于使病毒文件找不到或因错误的连接库,而无法正常运行。
    未测试,无发言权...  可能会根除ARP,不过对真正要破坏者无能为力。总归来说,所谓的系统限制对我们大家来说就是形同虚设...

三  IP-MAC双向绑定,目前这个做法已被认为无法阻止ARP的泛滥。

    的确arp -d 命令可以清理缓存,导致缓存失效。那么同样原理,我们是否可以这样:
    1 在路由制定静态路由表,并限制内网网段,我用的是ROS。
    2 制作好一个IP-MAC地址的映射表(IP_MAC.txt),全部网段的IP,如无此IP地址(如无192.168.0.254机器),其映射使用 192.168.0.254 00:00:00:00:00:00 来代替。有几个网段就添加多少。
    3 当病毒发作时,在同一时间(可用任务计划完成,详见at命令)自行清理ARP缓存,并在客户机制定全网IP-MAC映射表。(实现方式见下文)
      我的设想是这样每台机器都有自己的IP-MAC(正确的)映射表,将根据此表去完成访问,并无法与表中不同的IP联系。那么是否可以在ARP发作期间,来抑制ARP的发作?
      这需要大家来帮我,其中的原理我不是很明白,只是有这么个想法。而给我这个想法的是下面这个ARP的解决方案。

四  1、在ROS里绑定所有的工作站的IP和MAC
      2、把内网卡模式改成reply-only
      3、把内网段里没用的IP的MAC全部绑成00000000000,防止IP欺骗。
      4、在SNAT里指定内网段的IP段
      5、如果主干交换机带管理功能,则把ROS主机的IP MAC 端口绑定,并且关掉交换MAC的自动学习功能,把局域网里所有的IP和MAC设成静态列表,需手工添加进去。
      6、以上几步就能防住ROS不掉线了,工作站此时只需要装一个防ARP的软件,适时刷新正确的网关,就能保证工作站也不掉线了。

五  对ARP攻击的防护(此种方式我是有心无力,只能把它发在这里,供大家研究。原文粘贴无更改。)
   防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。
   首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。
   a.    使用arp –d host_entry
   b.    自动过期,由系统删除
   这样,可以采用以下的一些方法:
     1).    减少过期时间
#ndd  –set /dev/arp  arp_cleanup_interval 60000
#ndd  -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒  默认是300000
    加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。
     2).    建立静态ARP表
    这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
      test.nsfocus.com  08:00:20:ba:a1:f2
      user. nsfocus.com  08:00:20:ee:de:1f
    使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。
     3).禁止ARP
     可以通过ifconfig interface –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在apr表中的计算机 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效和可行的。


六  软件防御
http://www.5151sf.com/    arp保护神
       可使用服务端实时检测客户端,以便确定攻击源及攻击检测。也可以只使用单机保护。使用中(目前只使用了10个小时)未测试出真实效果,不过出现客户端CPU占用达到100%的情况。目前感觉比较方便的是,可以在客户机启动时直接自动加载,不需要每台机器安装,另外它的无界面操作也比较好,让人在不知不觉中被保护。

http://WWW.ColorSoft.COM.CN/    彩影软件 比较著名的是 Anti ARP Sniffer V3.5
       可实现单机保护,因其有界面显示故为采用。

       这里我只写这2个软件不多写了,不是因为别的软件不优秀,只是因为要顾及篇幅(最主要的是这2个是免费的 呵呵),另外也有可能更优秀的软件我没有找到(个人能力问题)。实际网上有很多的,只要你用心找就可以。

      好了,目前我找到的大约就是上面的几种方式,更多的大家一起去发现吧(如有发现请补充一下,谢谢)。现在说说其中的一些步骤的实现方式。但是其中对ARP防御的效果如何,上面已经说了一些个人的想法与观点,其他的有待大家来验证并补充,并不是在这里要说的,这里说的只是对于上面的方式的实现方法。因为我比较喜欢命令行模式,所以几乎都是使用命令来完成上面的防御方式。

需要注意文件的属性和权限及正在被使用会导致无法修改文件。需要通过相关命令来处理。
    修改文件可以通过如下命令来完成:
           copy con 文件名
           echo 任意字符 > 文件名
    修改文件属性命令:
           attrib
    修改用户,文件权限命令:
           cacls
大家可以通过帮助去了解一下,实际上2000(xp)的帮助里面有很多好东西,我建议大家有时间的话多去研究一下。

一 阻止winpcap的安装(packet.dll pthreadVC.dll wpcap.dll文件的修改与权限设定)
@echo off
attrib -a-h-s c:\winnt\system32\packet.dll
@echo 纸白 >c:\winnt\system32\packet.dll
cacls c:\winnt\system32\packet.dll /D everyone
attrib +a +s +h c:\winnt\system32\packet.dll
........
其他文件与上相同,只需要把packet.dll改成相映文件名即可
........

二   使用命令来直接操作修改 npptools.dll 的属性与权限(同上)。

1 禁止所有用户的访问(NTFS)
cacls c:\winnt\system32\npptools.dll /D evecyone

2 指定npptools.dll文件的访问权限为,所有用户无法访问。(NTFS)
cacls c:\winnt\system32\npptools.dll /P evecyone:N

3 指定npptools.dll的属性为 只读 系统文件 隐藏
attrib +a +s +h c:\winnt\system32\npptools.dll

三  IP-MAC地址列表  空IP-MAC表与ROS脚本的快速生成
      1    IP-MAC地址的生成我使用了一个工具(nbtscan.exe附件中有),当所有机器都开着的时候,使用nbtscan -r 192.168.0.0/24 >IP-MAC_TMP.txt 生成临时列表。然后使用FOR命令分析生成符合我们要求的IP-MAC.txt(因IP-MAC-TMP.txt文件有特殊字符,容易出错,也可手动修改)。
表的格式:
192.168.0.1  00-01-6c-b1-67-52
192.168.0.2  00-01-6c-b4-28-1a
192.168.0.3  00-01-6c-b3-b0-65
192.168.0.4  00-01-6c-b4-28-6e
192.168.0.5  00-01-6c-b4-41-91
192.168.0.6  00-01-6c-b4-51-1a
192.168.0.7  00-01-6c-b4-27-87
....
      有了这个IP-MAC.txt文件,我们就可以通过它来生成ROS脚本或直接在客户机导入全部的IP-MAC表了。

      2    所有空IP的MAC地址生成:注意最后生成的K_IP-MAC.txt将是连续的IP,如启动包括实际存在的IP,请将其删除。
for /L %i in (x,1,y) do @echo 192.168.0.%i 00-00-00-00-00-00 >>K_IP-MAC.txt

     x 为空IP起始地址(最后一位),y为最后的地址,大多应该是254。注意把其中的192.168.0.,改为你的网段。上面的命令只能在命令行执行(cmd窗口)。执行后会自动生成K_IP-MAC.txt,里面会包括所有192.168.0.x-192.168.0.y之间的IP地址,其后是MAC地质,全部为00-00-00-00-00-00。

      3  直接导入全部的IP-MAC表
arp -d
FOR /F "eol=; tokens=1,2* delims=, " %i in (ip-mac.txt) DO arp -s %i %j


[ 本帖最后由 neu21 于 2007-4-5 22:51 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 17:18 , Processed in 0.130635 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表