本帖最后由 xwhmm 于 2010-5-3 09:26 编辑
comodo在matousec上面排名第一,可是昨天看到
"我记得之前我在一些防火墙的版区写了为什么不能用某某墙有效防御arp攻击,并且在回帖中做了一些讨论,不过我写的不够系统,可能有些地方没有写明白,在这呢我通过把常见arp欺骗和嗅探的原理、op、comodo、pct等一些防火墙的对arp攻击的防御能力,还有专门的arp防火墙的优势做个描述,希望能帮助大家早日摆脱arp攻击。
常见的arp欺骗和嗅探的原理:
arp欺骗:
通过不同的欺骗方向和arp包具体内容,可以达到很多种效果:
欺骗机器,可以达到:ip冲突、嗅探主机到网关的通讯、禁止主机上网、限制主机速度
欺骗网关,可以用来:嗅探网关到主机的通讯、禁止主机上网、限制主机速度、网页挂马
arp扫描:扫描机通过发送arp request给所有在网段内可能存在机器,然后收集机器发来的arp reply来达到获取在线主机的目的。
被动嗅探:
就是仅仅通过收集通过本网卡的数据包来发现存在的主机、嗅探主机的信息。这类数据包的以太网头表明他的目的地址是广播,或者是嗅探者的机器。通过这类的数据包,一般可以找出网内机器的ip地址、mac地址对应关系,发现一些arp扫描、更换ip、更换mac、其他机器的arp攻击信息。
主动嗅探:
其实就是普通的arp欺骗后,改变数据流向,让数据经过自己的网卡喽。
如果机器被arp欺骗,让他的机器上,网关ip对应的mac地址是嗅探者网卡的mac地址,这样所有发往网关的数据的以太网头就变成了嗅探者网卡的mac地址,这样,所有发给网关的数据就都发给了嗅探者的网卡上,然后嗅探者可以通过一些规则来将数据包转发给网关或者不转发(大部分p2p终结者一类的网管软件的arp欺骗方式,这就是其中之一)
如果网关被arp欺骗,一台机器的ip对应的mac地址被改写为嗅探者的mac地址,那么所有网关要发给这个主机的包都会发给嗅探者的网卡,这样,嗅探者可以通过一些规则来决定是否转发给那个正确的机器,或者阻止这个数据包。
讲了一些原理的东东~其实对于防御来讲,总结起来就三句话:限制广播包和非网关mac地址的数据包的发送、防止本机arp缓存被恶意篡改,发包来保证网关arp缓存的正确性。
对于非专门arp防火墙而言,想这三条都做到,是很难的。
comodo可以拦截“可疑”的arp请求和arp回复,通过这个功能,可以防止本机被arp欺骗,也可以阻止他人通过arp扫描暴露自己。
op也有类似的功能,也可以保证本机arp缓存包不会被非网关的mac发来的数据包篡改,也就是防止了他人对本机的arp欺骗
lns、pct这两款防火墙,可以通过编写规则,阻止非网关的mac发来的数据包,也就保证了本机不遭到arp扫描,也不会被arp欺骗。
。。。。
也就是说,现在大多数咱们常用的非专门对抗arp攻击的防火墙,能保护本机不被arp欺骗,但都因为没有发送数据包的能力,无法保证网关——本机的数据包的正确流向。攻击者可以利用这一点,嗅探到受害者机器的通讯内容:看了什么网页,下载了什么内容的文件等等,更可以利用这点来网页挂马,让受害者机器在浏览网页的时候,木马就悄悄的种下了。
要保证网关的arp项正确,如果路由器或者交换机没有arp绑定功能的话,就只能通过发送arp reply包来解决了。所以说,没有发送数据包能力的防火墙,都无法有效防御arp攻击,比如comodo、op、lns、pct等等,他们只能决定是否允许一个数据包通过网卡,而无法发送数据包,所以都无法有效防御arp攻击。
专业的arp防火墙,除了可以保证本机不受到arp欺骗、arp扫描的影响外,更主要的是他有主动防御功能,也就是说,他会主动发包,刷新网关的arp缓存,保证网关中自己机器对应的arp项的正确性,从而才能确保网关到本机数据流向的正确。
所以推荐大家在有arp攻击的局域网环境内,一定不要依赖comodo、op、pct等等这些非专门arp防火墙来防御arp攻击,那是远远不够的,并且会带来很大的安全隐患。"
-----------------------------------------------------------------------------------------------------------------------------------
当然,不是我写的,应该也有好多人看过这个帖子吧?
于是就下载了两个arp防火 墙进行测试,一个是金山贝壳arp,一个是彩景arp,用了一下,发现,金山就arp和comodo不能和平相处,装了之后,开机comodo不自己启动了,手动启动了之后也没有拦截记录然后再看金山arp的拦截,也没有任何的拦截记录,应该是和comodo冲突的原因,后来就把金山卸载了,重装了彩景arp,重启之后发现,comodo自己启动了,而且,防火墙拦截也 正常的说,,再看,彩景的拦截,由于我在局域网内,一下子就拦截到,别外两个机子的广播请求,虽然我也搞不清,这个广播到底怎么个概念,但是我知道他起作用了,对吧[:27:] 而且comodo也一切正常,感觉杠杠的说
现在上图片给大伙看看,哈哈....我的铜墙铁壁 |
[复制链接]
发表于 2010-5-3 09:18:41
楼主
....等以后机子升级了再用online armor吧
发表于 2010-5-3 16:45:42
