谈谈mcafee8.5I+企业严厉版规则的使用情况。（欢迎有做网管的朋友们进来看看）

tcafei

在用小邪邪的企业严厉版规则的情况下，我自己的机子已经开启了A86规则。添加了不少自己的常用程序，感觉还可以。今天给做网站的同事安装了mcafee8.5i，因为工作的关系，不会给我太多的时间，结果他们许多的常用软件安装完成后，一个个排除实在太累了，不知这里有没有做网管的兄弟，你们是怎么用mcafee的？


个人感觉mcafee的易用性实在远不如卡吧，且如果不用规则的话，感觉mcafee实在不如卡吧。


第二个事情是今天下午不知怎么的中毒了，在temp文件夹下，有个update1.exe到update9.exe的程序在一直运行，触犯A86规则，删又删不掉，msconfig后发现它竟然自动添加了几个运行项，因为我是做网管的，不时要运行一些程序，可能是因为禁用过的关系。竟然自己修改了启动项，于是想要把它给在msconfig中去掉，结果改这么一个东西，竟然要去掉4到5条规则，才能改msconfig，真是郁闷，注销后终于把它给删掉了。
此事有两个疑问，一：若是卡吧，会不会被直接搞定？
               二：如果没有开启a86，是不会我就死掉了？

               
ps：小邪邪是做什么的啊？你是参考着什么写的企业版的规则包？


袄，还有一个问题，mcafee对arp欺骗有什么防护办法没？

=====================================
二楼的，比如说排除phootshop问题，他有好几个exe文件要排除，如果规则基本全开的情况下，那么至少要在三个地方排除，1：将所有共享设为只读。2禁止更改所有文件的扩展名和注册3：a86规则、4：好像还要在禁止在prgram中创建可执行文件。二楼的，你排除文 件夹是什么意思？如何去做？

小邪邪，偶知道你历害，能不能说说你会怎么做啊？？？在企业中装mcafee？
真倒霉，今天下午arp在网络中泛滥，temp文件夹下又看到了update8。exe

[ 本帖最后由 tcafei 于 2007-4-3 17:51 编辑 ]

idey

现在排除不是直接排除文件夹吗？

小邪邪

这个很难说，相同的情况如果让我碰上的话或许不会有事
其实最强的，最关键的因素还是人（只能这么说了）

baobaoi_110

不知道楼主看到小邪邪的话会不会抓狂

秘书

呵呵 版主幽摸了一把 不过地却是没说错 楼主别声起 好好学习 天天向上

sxingbai

temp文件夹文件夹下的程序禁止运行

sxingbai

就是排除整个文件夹下的文件

neu21

arp防护用风云的防火墙效果还行


方式1：
一   将system32里面的packet.dll pthreadVC.dll wpcap.dll 3个dll文件 与system32\drivers里面的npf.sys 改变并设置为无法访问，用于阻止winpcap的安装与执行。
     缺点：只能针对需要winpcap安装的程序，如：网络执法官。无法限制病毒的运行。

二  将system32里面的npptools.dll改变并设置无法访问，用于使病毒文件找不到或因错误的连接库，而无法正常运行。
    未测试，无发言权...  可能会根除ARP,不过对真正要破坏者无能为力。总归来说，所谓的系统限制对我们大家来说就是形同虚设...

三  IP-MAC双向绑定，目前这个做法已被认为无法阻止ARP的泛滥。

    的确arp -d 命令可以清理缓存，导致缓存失效。那么同样原理，我们是否可以这样：
    1 在路由制定静态路由表，并限制内网网段，我用的是ROS。
    2 制作好一个IP-MAC地址的映射表(IP_MAC.txt)，全部网段的IP,如无此IP地址(如无192.168.0.254机器),其映射使用 192.168.0.254 00:00:00:00:00:00 来代替。有几个网段就添加多少。
    3 当病毒发作时,在同一时间(可用任务计划完成，详见at命令)自行清理ARP缓存，并在客户机制定全网IP-MAC映射表。(实现方式见下文)
      我的设想是这样每台机器都有自己的IP-MAC(正确的)映射表，将根据此表去完成访问，并无法与表中不同的IP联系。那么是否可以在ARP发作期间，来抑制ARP的发作？
      这需要大家来帮我，其中的原理我不是很明白，只是有这么个想法。而给我这个想法的是下面这个ARP的解决方案。

四  1、在ROS里绑定所有的工作站的IP和MAC
      2、把内网卡模式改成reply-only
      3、把内网段里没用的IP的MAC全部绑成00000000000，防止IP欺骗。
      4、在SNAT里指定内网段的IP段
      5、如果主干交换机带管理功能，则把ROS主机的IP MAC 端口绑定，并且关掉交换MAC的自动学习功能，把局域网里所有的IP和MAC设成静态列表，需手工添加进去。
      6、以上几步就能防住ROS不掉线了，工作站此时只需要装一个防ARP的软件，适时刷新正确的网关，就能保证工作站也不掉线了。

五  对ARP攻击的防护(此种方式我是有心无力，只能把它发在这里，供大家研究。原文粘贴无更改。)
   防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。
   首先，你要知道，如果一个错误的记录被插入ARP或者IP route表，可以用两种方式来删除。
   a.    使用arp –d host_entry
   b.    自动过期，由系统删除
   这样，可以采用以下的一些方法：
     1）.    减少过期时间
#ndd  –set /dev/arp  arp_cleanup_interval 60000
#ndd  -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒  默认是300000
    加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。
     2）.    建立静态ARP表
    这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
      test.nsfocus.com  08:00:20:ba:a1:f2
      user. nsfocus.com  08:00:20:ee:de:1f
    使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个arp文件。这个方法，不适合于经常变动的网络环境。
     3）．禁止ARP
     可以通过ifconfig interface –arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在apr表中的计算机 ，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效和可行的。


六  软件防御
http://www.5151sf.com/    arp保护神
       可使用服务端实时检测客户端，以便确定攻击源及攻击检测。也可以只使用单机保护。使用中(目前只使用了10个小时)未测试出真实效果，不过出现客户端CPU占用达到100%的情况。目前感觉比较方便的是，可以在客户机启动时直接自动加载，不需要每台机器安装，另外它的无界面操作也比较好，让人在不知不觉中被保护。

http://WWW.ColorSoft.COM.CN/    彩影软件 比较著名的是 Anti ARP Sniffer V3.5
       可实现单机保护，因其有界面显示故为采用。

       这里我只写这2个软件不多写了，不是因为别的软件不优秀，只是因为要顾及篇幅(最主要的是这2个是免费的 呵呵)，另外也有可能更优秀的软件我没有找到(个人能力问题)。实际网上有很多的，只要你用心找就可以。

      好了，目前我找到的大约就是上面的几种方式，更多的大家一起去发现吧(如有发现请补充一下，谢谢)。现在说说其中的一些步骤的实现方式。但是其中对ARP防御的效果如何，上面已经说了一些个人的想法与观点，其他的有待大家来验证并补充，并不是在这里要说的，这里说的只是对于上面的方式的实现方法。因为我比较喜欢命令行模式，所以几乎都是使用命令来完成上面的防御方式。

需要注意文件的属性和权限及正在被使用会导致无法修改文件。需要通过相关命令来处理。
    修改文件可以通过如下命令来完成：
           copy con 文件名
           echo 任意字符 > 文件名
    修改文件属性命令：
           attrib
    修改用户,文件权限命令：
           cacls
大家可以通过帮助去了解一下，实际上2000(xp)的帮助里面有很多好东西，我建议大家有时间的话多去研究一下。

一 阻止winpcap的安装(packet.dll pthreadVC.dll wpcap.dll文件的修改与权限设定)
@echo off
attrib -a-h-s c:\winnt\system32\packet.dll
@echo 纸白 >c:\winnt\system32\packet.dll
cacls c:\winnt\system32\packet.dll /D everyone
attrib +a +s +h c:\winnt\system32\packet.dll
........
其他文件与上相同，只需要把packet.dll改成相映文件名即可
........

二   使用命令来直接操作修改 npptools.dll 的属性与权限(同上)。

1 禁止所有用户的访问(NTFS)
cacls c:\winnt\system32\npptools.dll /D evecyone

2 指定npptools.dll文件的访问权限为，所有用户无法访问。(NTFS)
cacls c:\winnt\system32\npptools.dll /P evecyone:N

3 指定npptools.dll的属性为 只读 系统文件 隐藏
attrib +a +s +h c:\winnt\system32\npptools.dll

三  IP-MAC地址列表  空IP-MAC表与ROS脚本的快速生成
      1    IP-MAC地址的生成我使用了一个工具(nbtscan.exe附件中有)，当所有机器都开着的时候，使用nbtscan -r 192.168.0.0/24 >IP-MAC_TMP.txt 生成临时列表。然后使用FOR命令分析生成符合我们要求的IP-MAC.txt(因IP-MAC-TMP.txt文件有特殊字符，容易出错，也可手动修改)。
表的格式：
192.168.0.1  00-01-6c-b1-67-52
192.168.0.2  00-01-6c-b4-28-1a
192.168.0.3  00-01-6c-b3-b0-65
192.168.0.4  00-01-6c-b4-28-6e
192.168.0.5  00-01-6c-b4-41-91
192.168.0.6  00-01-6c-b4-51-1a
192.168.0.7  00-01-6c-b4-27-87
....
      有了这个IP-MAC.txt文件，我们就可以通过它来生成ROS脚本或直接在客户机导入全部的IP-MAC表了。

      2    所有空IP的MAC地址生成：注意最后生成的K_IP-MAC.txt将是连续的IP，如启动包括实际存在的IP，请将其删除。
for /L %i in (x,1,y) do @echo 192.168.0.%i 00-00-00-00-00-00 >>K_IP-MAC.txt

     x 为空IP起始地址(最后一位)，y为最后的地址，大多应该是254。注意把其中的192.168.0.，改为你的网段。上面的命令只能在命令行执行(cmd窗口)。执行后会自动生成K_IP-MAC.txt，里面会包括所有192.168.0.x-192.168.0.y之间的IP地址，其后是MAC地质，全部为00-00-00-00-00-00。

      3  直接导入全部的IP-MAC表
arp -d
FOR /F "eol=; tokens=1,2* delims=, " %i in (ip-mac.txt) DO arp -s %i %j

[ 本帖最后由 neu21 于 2007-4-5 22:51 编辑 ]