无忧启动论坛

标题: 【new】_ 给所有PE制作或修改者的有关安全方面的建议 [打印本页]
作者: tansuo    时间: 2009-2-9 18:28
标题: 【new】_ 给所有PE制作或修改者的有关安全方面的建议
      其实这个建议应该是很少有人注意的,既然是我们制作或修改了某个PE,何不做的再完美些呢。我们在制作或修改时是不是少加了个防御ARP攻击的软件?因为这也是我在局域网中维护时遇到的和一些朋友们遇到的,后来才会想到这一点。
      如果我们的机器出现问题了,想用PE上网查一下资料,但局域网中又有ARP攻击,网速被限制,那网页打开就会很慢,更不用说远程求救啦,当然了,也更是不能在线看影视了。因为现在的局域网用户还不少,所以应该也加一款ARP防御软件,到时可根据情况自选打开或关闭使用。
      我在我这儿的局域网就经常受到攻击,所以试用了几款软件,觉得风云防火墙和金山ARP防火墙还不错,但是就一点,风云个儿头有点大还不是免费的,金山ARP防火墙体积小免费,对局域网用户来说防御也还不错,这只是一个建议,希望能考虑的更周全些,使在局域网中的爱好者们也能安全的使用PE上网查资料维护或看影视什么的(如有娱乐功能的话)。
      看到一些贴子里有朋友说卡巴用不了,大大们何不试试小红伞呢,论坛里也有网友放出来了下载链接。
      期待着我们的PE能做的更完美。 也希望其他大大看到了能考虑一下局域网中使用的爱好者。
      以上只是个人的一点小建议,如有说的不对,见笑啦。。。

================================================
      可能有些朋友理会错我的意思了,我只是给所有准备制作PE或要更新自己PE的朋友们一个建议,希望大家能把自己的PE做的更完美些罢了,也使得自己在做PE时,能考虑到以后万一遇到那种情况也可以使用,利人利己。其实这也是我们在做PE过程中的一个小插曲。O(∩_∩)O哈~


看到有网友问,就上传一个,地址在25楼,又需要的朋友可以去看看,另还有一些其它的小工具。

[ 本帖最后由 tansuo 于 2009-2-23 01:42 编辑 ]
作者: doscmd    时间: 2009-2-9 20:17
建议,高手们都不看的,写来有什么用,高手们只会做自己需要,自己喜欢的建议,我发了个贴,高手们看都没看,谁还来理你呀,自己做自己用好了。靠自己丰衣足食吧兄弟。。。ARP防火墙自己搞成纯净版的加到你自己的PE中吧,不要说我自私...
作者: wwwzhx    时间: 2009-2-9 21:29
公开发布的PE,考虑的是常用功能,特别的功能只能自己增加啦,
否则一人提一个建议,加来加去成了完整版啦。
作者: tzxinqing    时间: 2009-2-9 23:03
呵呵,我自己就加了一个金山ARP防火墙,放在外置里了,需要就安装,呵呵
作者: 超级坏蛋    时间: 2009-2-9 23:09
绿色的ARP墙也很多。
作者: cctrv    时间: 2009-2-9 23:12
需要这么麻烦么?
用arp命令清理一下缓存,再捆绑一下网关就可以了...
作者: tansuo    时间: 2009-2-10 03:02
原帖由 doscmd 于 2009-2-9 20:17 发表
建议,高手们都不看的,写来有什么用,高手们只会做自己需要,自己喜欢的建议,我发了个贴,高手们看都没看,谁还来理你呀,自己做自己用好了。靠自己丰衣足食吧兄弟。。。ARP防火墙自己搞成纯净版的加到你自己 ...

说的有点道理,不过,我也是经过三思才发这个建议的,毕竟不管是高手也好新手也好(将来也会成为高手)制作修改后的PE会放出来与大家分享研究或使用,而今局域网用户不在少数,如果碰上我所提到的问题,那不也是一种缺憾吗?再说了,估计这也是一个应用趋势吧。
作者: tansuo    时间: 2009-2-10 03:06
原帖由 cctrv 于 2009-2-9 23:12 发表
需要这么麻烦么?
用arp命令清理一下缓存,再捆绑一下网关就可以了...

cctrv 说的也没错,不过,估计是你不经常在局域网中使用,或在局域网中使用也很少遇到过ARP恶意攻击,呵呵。用防火墙有个好处就是能查出攻击来源的MAC和IP地址,这就容易查找问题来源了。
作者: tansuo    时间: 2009-2-10 03:11
原帖由 超级坏蛋 于 2009-2-9 23:09 发表
绿色的ARP墙也很多。

是的,绿色的ARP防火墙也不少(我用的是安装版的)。之前因受到ARP的恶意攻击,所以也测试过多款ARP防火墙,只是个人觉的那两个功能强大而且直观好用点(后者更适合新手使用)。

[ 本帖最后由 tansuo 于 2009-2-10 17:43 编辑 ]
作者: comet    时间: 2009-2-10 13:37
原帖由 tansuo 于 2009-2-10 03:06 发表

cctrv 说的也没错,不过,估计是你不经常在局域网中使用,或在局域网中使用也很少遇到过ARP恶意攻击,呵呵。用防火墙有个好处就是能查出攻击来源的MAC和IP地址,这就容易查找问题来源了。


建议只增加个抓包工具就好了~体积小,应用范围也广~
防火墙就不加了吧?要不然arp防火墙要加,那杀毒软件要不要加?木马查杀要不要加?什么都加一点就没完没了了。。。
毕竟现在使用PE的大部分都是懂得一点技术的电脑爱好者~
弄得太傻瓜对大家提高技术水平没有帮助,哈哈
作者: lyra    时间: 2009-2-10 14:02
我来说一句,只是一个绿色软件而已,不是什么技术高深让人弄不懂的问题,自己学习一下怎么加吧。
作者: lyra    时间: 2009-2-10 14:02
多了,这个不要。
作者: fusheng    时间: 2009-2-10 14:09
越搞越复杂了。
作者: my3927    时间: 2009-2-10 14:25
不是谁都需要,你要是需要,自己加一个不就得了!
作者: tansuo    时间: 2009-2-10 17:41
原帖由 comet 于 2009-2-10 13:37 发表


建议只增加个抓包工具就好了~体积小,应用范围也广~
防火墙就不加了吧?要不然arp防火墙要加,那杀毒软件要不要加?木马查杀要不要加?什么都加一点就没完没了了。。。
毕竟现在使用PE的大部分都是懂得一 ...

这个只是防患于未然,如果用PE做维护,但需要上网查点东西什么的,但局域网中有人用一些限速软件限制,老是进行ARP恶意攻击,半天打不开网页,那不是很急人吗?
何况一个ARP防火墙才几百K(如:金山ARP防火墙 V1.3.781.50大小才625 KB),估计comet 是一听说防火墙就觉得至少也得好MB吧。。
作者: tansuo    时间: 2009-2-10 17:50
原帖由 lyra 于 2009-2-10 14:02 发表
我来说一句,只是一个绿色软件而已,不是什么技术高深让人弄不懂的问题,自己学习一下怎么加吧。

呵呵,lyra也来了呀,我只是给准备正要制作PE的爱好者们提个醒而已,利人利己,也是以后万一碰到这种事自己也方便。

[ 本帖最后由 tansuo 于 2009-2-10 17:52 编辑 ]
作者: 66369    时间: 2009-2-10 21:24
原帖由 lyra 于 2009-2-10 14:02 发表
我来说一句,只是一个绿色软件而已,不是什么技术高深让人弄不懂的问题,自己学习一下怎么加吧。




自己学习下.自己能提高.看LZ自己有能力自己干的........成功了.与我等共享.可以吗?
作者: tansuo    时间: 2009-2-11 00:18
原帖由 66369 于 2009-2-10 21:24 发表

自己学习下.自己能提高.看LZ自己有能力自己干的........成功了.与我等共享.可以吗?

      我心如水也来了,呵呵,从你的作品、文风及作风中可以看的出来,是一位非常热心勤奋、思路清晰的大大,也是很值得佩服的一个朋友,如果我做了肯定共享,但老兄太高看我了,我来无忧没几天,还没那水平,O(∩_∩)O~
      如果老兄在更新时能把这个也考虑进去的话,就更完美了,期待着你作品的更新。

      可能有些朋友理会错我的意思了,我只是给所有准备制作PE或要更新自己PE的朋友们一个建议,希望大家能把自己的PE做的更完美些罢了,这也使得自己在做PE时,能考虑到以后万一遇到那种情况也可以使用。

[ 本帖最后由 tansuo 于 2009-2-11 00:30 编辑 ]
作者: pseudo    时间: 2009-2-11 00:34
好建议。
请贡献一个好的ARP防火墙软件,补充到工具集里:http://bbs.wuyou.net/forum.php?m ... &extra=page%3D2
作者: qingyi78    时间: 2009-2-11 10:57
不驱动网卡就可以避免攻击。
作者: canmao    时间: 2009-2-11 16:50
标题: 回复 #19 pseudo 的帖子
那款ARP防火墙软件好?360的好吗?
作者: sesell    时间: 2009-2-11 21:58
试过,360的不行。可惜彩影的AntiArp比较大。
作者: dos时代菜鸟    时间: 2009-2-12 08:12
PE 是用来做维护和系统研究的。
一些外围问题 还是自己动手丰衣足食吧。

说句心里话,老指望别人 算什么高手? 其实很简单的。
作者: yanwc    时间: 2009-2-12 09:13
原帖由 canmao 于 2009-2-11 16:50 发表
那款ARP防火墙软件好?360的好吗?

红叶大大说,金山的防火墙不错
作者: tansuo    时间: 2009-2-12 16:37
原帖由 pseudo 于 2009-2-11 00:34 发表
好建议。
请贡献一个好的ARP防火墙软件,补充到工具集里:http://bbs.wuyou.net/forum.php?mod=viewthread&tid=136901&;extra=page%3D2

我权限不够,已上传到网盘里了,有需要的朋友可以去看看,另外还有其它一些工具。地址是:
http://myuser.qupan.com/?folder=486402

[ 本帖最后由 tansuo 于 2009-2-12 16:57 编辑 ]
作者: tansuo    时间: 2009-2-12 16:39
原帖由 canmao 于 2009-2-11 16:50 发表
那款ARP防火墙软件好?360的好吗?

个人试用,觉得金山体积小小,功能也不错,已上传到网盘,地址在25楼。
作者: tansuo    时间: 2009-2-12 17:01
原帖由 dos时代菜鸟 于 2009-2-12 08:12 发表
PE 是用来做维护和系统研究的。
一些外围问题 还是自己动手丰衣足食吧。
说句心里话,老指望别人 算什么高手? 其实很简单的。

我已写的很清楚了,只是个小建议,高手见笑了,呵呵
作者: canmao    时间: 2009-2-12 20:21
金山arp防火墙:KAntiarp.WIM
已上传到http://bbs.wuyou.net/forum.php?m ... p;extra=&page=3中的PETOOLS/病毒查杀/

注意:必须是在PE加载了网络的情况下才能正常使用,否则报错!

有请高手指点DOS批处理检测网络的脚本。
作者: fan156    时间: 2009-2-13 16:45
其实这个建议应该是很少有人注意的,既然是我们制作或修改了某个PE,何不做的再完美些呢。我们在制作或修改时是不是少加了个防御ARP攻击的软件?因为这也是我在现实生活中自己遇到的和一些朋友们遇到的,后来才会想到这一点。
      如果我们的机器出现问题了,想用PE上网查一下资料,但局域网中又有ARP攻击,网速被限制,那网页打开就会很慢,更不用说远程求救啦,当然了,也更是不能在线看影视了。因为现在的局域网用户还不少,所以应该也加一款ARP防御软件,到时可根据情况自选打开或关闭使用。
      我在我这儿的局域网就经常受到攻击,所以试用了几款软件,觉得风云防火墙和金山ARP防火墙还不错,但是就一点,风云个儿头有点大还不是免费的,金山ARP防火墙体积小免费,对局域网用户来说防御也还不错,这只是一个建议,希望能考虑的更周全些,使在局域网中的爱好者们也能安全的使用PE上网查资料维护或看影视什么的(如有娱乐功能的话)。
      看到一些贴子里有朋友说卡巴用不了,大大们何不试试小红伞呢,论坛里也有网友放出来了下载链接。
      期待着我们的PE能做的更完美。 也希望其他大大看到了能考虑一下局域网中使用的爱好者。
      以上只是个人的一点小建议,如有说的不对,见笑啦。。。
作者: comet    时间: 2009-2-14 01:54
ARP防火墙的功能是牺牲一部分网络带宽,采用与arp攻击相同的原理大量发包,暂时解决上网问题,但是只要局域网内的arp攻击主机还存在,整个广播域都仍然充斥着arp攻击~
在只有几台,十几台客户机小型局域网里,arp防火墙的这一点网络带宽开销也许算不了什么~
但是如果是大型局域网,每台计算机都开arp防火墙,那整个网络很有可能完全瘫痪~
所以我觉得对于一个网管而言,根本的解决办法还是要学会抓包分析,找到arp攻击的源头,然后解决掉它~




ARP攻击原理:
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。



ARP防火墙原理:
伴随ARP欺骗的隐蔽性和广泛性,目前出现了多种可以防止ARP欺骗的软件,它们的工作原理一般有两种:第一种是拦截ARP的攻击或者是IP冲突,保障系统不会受ARP攻击的影响;第二种是防止恶意攻击程序篡改本机的ARP缓存表。 第一种方法可以通过广播指定IP地址正确的MAC地址,它能够立即解决ARP攻击引起的挂马、掉线等问题,但同时也会给网络带来一定的负载。第二种方法较为简单,不会对网路有什么影响,但防护效果较差。 目前比较流行的ARP防护类软件有:AntiARP防火墙、瑞星个人防火墙2008、360ARP防火墙等,它们的工作原理无外乎上述两种。
作者: tansuo    时间: 2009-2-14 02:42
原帖由 comet 于 2009-2-14 01:54 发表
ARP防火墙的功能是牺牲一部分网络带宽,采用与arp攻击相同的原理大量发包,暂时解决上网问题,但是只要局域网内的arp攻击主机还存在,整个广播域都仍然充斥着arp攻击~
在只有几台,十几台客户机小型局域网里, ...

      comet  很负责呀,呵呵,谢谢。。

      不过,关于你写的第一段这些,如果有时间的话可以到金山ARP防火墙社区看看,可以多了解一些。我也是因为局域网中出现这种情况才有此想法给大家提个建议,加个反ARP工具是启用还是关闭到时看使用环境决定。

     这个话题说起来就话长了,你也可以到网上搜一下《国内六款ARP防火墙横向测》看看,另外一篇就是你第一段所说的那种情况,那好像是07年出现的情况,现在技术都在不断发展...... 呵呵,文章好像是《从吉大网管拒绝瑞星ARP说起》,金山论坛里也有。你所贴的从第二段开始,彩影网站也有大量这方面的理论文章,也可以去看看,O(∩_∩)O~
作者: tansuo    时间: 2009-2-23 01:43
顶上去,让更多的人关注看看,哈



欢迎光临 无忧启动论坛 (http://wuyou.net./) Powered by Discuz! X3.3