安全交流通过McAfee8.5阻挡ARP的基本理念 (http://www.mcafeefans.com/article.asp?id=1458)
大家知道细水是作网络安全的,所以我们网站都是和安全相关的话题,大家也知道近日ARP病毒危害严重,而且传播远比熊猫烧香厉害,通过ARP挟持达到域名挟持的作用,导致内网某客户端中ARP病毒后其他客户端访问网站统统在网页代码中加一段带有木马病毒的框架代码,导致批量中毒的效果。具体的可以参看我们网站的一篇叫《实例介绍:网络遭遇 ARP欺骗攻击的症状》的文章, 之前我与网站另外一位NOD32负责的管理员玉剑冰封交流过,小冰的防ARP手段也在实验中,他主要的原理是通过RouteOS作一个内部的PPPoe拨号网络,彻底抛弃ARP协议的使用,就不存在ARP欺骗了,这个的成功案例其实就在我们身边,比如中国电信拨号上网就是通过PPPoe拨号,比如远在重庆的你中了该病毒不会直接挟持我的机器导致我访问百度网站中病毒吧?这也是一种不错的方式,论坛开放后我们可以分两块一起交流;我主要负责McAfee,因为熟悉,我认为也可以通过ePO的方式来实现ARP的杜绝,中毒的客户端会发广播包,我们以前是可以通过arp -a的方式来很快查找是某一台客户端中了该病毒,但是目前的ARP病毒除了会自动更改IP外还会克隆MAC地址,给我们的查找带来了很大的麻烦,作为一款强大的防病毒软件,用McAfee是可以杜绝修改MAC地址的;还有一部分人群,比如企业,会限制某一网段的无法访问外部互联网,但是某些不守规矩的员工自认为自己的计算机知识还不错,学会了修改MAC地址和修改IP来达到访问网络的目的,有这类麻烦的网管人员也可同我们一起探讨,因为我这个方案也可以在理论上加行政手段实现这样的功能。
首先我们来测试这个是否可以通过McAfee来实现吧,我通过系统快照对比,发现修改MAC地址会触动修改3个地址段的注册表键值,具体修改了该段下哪些项和修改了哪些键值我就不列出来了,我只把这三段地址列出来,我由衷的目的是愿意与大家一起交流这个话题,所以请注册我们会员,这样方便我与你日后联系,以下需要会员可见:
HKLM
\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{01B6EE92-404D-435F-84CA-2F5B34E5AC52}\
HKLM
\SYSTEM\ControlSet001\Services\{01B6EE92-404D-435F-84CA-2F5B34E5AC52}\Parameters\Tcpip\
HKLM
\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
我们将这三段作了限制,客户端将无法修改自己的MAC地址,但是比较遗憾的是可以修改IP,但是重启计算机后会恢复原来的IP地址,如何通过McAfee限制修改IP我还继续研究中,也欢迎一起加入这个行列来,毕竟这个都是我们自己的事情应该我们自己来解决,可以在视频中看到无法修改MAC地址的效果,对于企业来说,将改策略设置到ePO里,批量部署策略下发,并作策略限制卸载McAfee,将控制用户自行修改MAC地址的作用,也可以限制病毒修改MAC地址,我们再想办法限制修改IP,如果除了用McAfee再加一套网管软件是可以配合一起限制的,就可以找出是某台机器修改了IP,修改了MAC地址,是病毒作怪的拔掉网线该杀毒的杀毒,是人为修改的该行政处分的处分,作为网管,绝对不能对他们客气,否则将加大你的监管力度和工作量,算是对自己负责吧。
以上总的来说是需要网管来作的,我们的麦粉群内也有不少网管,不过这个需要ePO来支持,因为得分发策略下去,而且得给客户端上密码限制修改,并作策略限制卸载McAfee客户端,可以起到一定的限制和帮助排查的作用,并且本身是一款防病毒软件,一举多得,可以说McAfee,只要你想,没有什么不可以。
[ 本帖最后由 lonjet 于 2007-6-23 07:12 编辑 ] | 
发表于 2007-6-23 06:53:24
楼主
