• 瀏覽: 9,293
  • 回覆: 5
  • 追帖: 2
由於本版已有Look'n'stop的精華貼,為免重複,有意者可到這個精華貼下載LNS


LNS是全球唯一能完全擋住ARP欺騙攻擊的防火牆




當區域網內某台主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和安全網關,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過安全網關上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。
  切換到病毒主機上網後,如果用戶已經登陸了XX遊戲伺服器,那麽病毒主機就會經常僞造斷線的假像,那麽用戶就得重新登錄XX遊戲伺服器,這樣病毒主機就可以盜號了。
  由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢複從安全網關上網,切換過程中用戶會再斷一次線。


國內著名網絡執法官、網絡終結者等是利用ARP欺騙(通過廣播聲明自己是網關)來達到控制局域網內其他電腦網絡連接目的的。  
  ARP協議用來解析IP與MAC的對應關系,所以用下列方法可以實現抗拒網絡執法官等的控制。


方法如下:

首先新增一個Rule




  ①.添加一條新Rule,“Ethernet:type”選擇“ARP”,“Direction”選擇“Inbounds”
在“Source”區--“Ethernet:address”--“Equals”--“輸入你的網關MAC”;在“Destination”區--“Ethernet:address”--“Equals”--“本機的MAC地址”,其它選項不作任何改動,保存並允許該規則。





  ②.再添加一條新Rule,“Ethernet:type”選擇“ARP”,“Direction”選擇“Outbounds”,在在“Source”區--“Ethernet:address”--“Equals”--“輸入電腦MAC地址”;在“Destination”區--“Ethernet:address”--“Equals”--“FF:FF:FF:FF:FF:FF”,其它選項不做任何改動,保存並允許該規則。




  ③.在“互聯網過濾”裏面有一條“ARP : Authorize all ARP packets”規則,在這個規則前面打上禁止標志。

  此時不能與局域網任何其它機器通訊了,如果要通訊,再添加如①的規則,把“方向”改爲“雙向”,把“網關的MAC地址”改爲“信任的機器MAC地址”。每信任一台機器,添加一條類似規則即可。
  
  完成上述設置後,ARP欺騙就可以成功防範了。




開始---->程式集----->輸入CMD
進入dos後,輸入ipconfig /all
就能顯示Physical Address
地址式樣是 00-11-09-8C-ED-FF
取得後,輸入LNS就可以





開始---->程式集----->輸入CMD
進入dos後,輸入ARP -A
就能取得網關的Physical Address
式樣: 00-15-62-87-12-C3

[ 本帖最後由 命運的旋律 於 2006-8-18 10:02 PM 編輯 ]





[ 本帖最後由 spkpk123 於 2020-5-25 10:27 AM 編輯 ]



多謝樓主你既教學!


佢同outpost邊個好d


[隱藏]
版主:我開左呢個防火牆 windows個安全提示話我冇開
咁點算?





[ 本帖最後由 spkpk123 於 2020-5-25 10:27 AM 編輯 ]



[按此隱藏 Google 建議的相符內容]