之前看到有人询问sep防arp的能力,sep提供的方arp欺骗只是简单的阻止网关以外的机器更改你的arp缓存。所以说还是比较弱的,于是就去寻求增 强的方法,因为听说CHX的防arp最强,然后就去参考了chx和lns的防arp规则,发现主要还是通过包过滤的办法。然后我试着看了下sep的自定义 规则,发现其实sep的防火墙是可以过滤ARP包的。然后仔细了解了下arp的***原理。为什么要增强呢?因为sep本身如前面所说,只是简单的防欺骗, 但是对arp包是不过滤的,这就导致你被***时接受所有的arp包,系统还要去判断。实际上是资源浪费,可能一直猛烈的***就会拖系统和网速。所以加个包 过滤最好。
当然还有一点要说明的是,这类防arp只是针对本机,如果是针对网关的arp欺骗除了绑定mac-ip外,没什么好的解决方法。
下面说方法:
1.在sep的网络威胁防护理选配置防火墙规则。
2.新建规则,取名为arp0806 allow (这里推荐用英文,便于规则的导入导出)状态选允许通信,远程主机选mac,输入路由或者说网关的mac,然后在协议里选以太网,选择协议,可以建立三条 规则,分别对应arp0x806,帧中继arp0x808,和反向ARP0x8035。然后确定。
3.前面是接受规则,最后要补上对应三条block arp规则,状态选阻止通信,远程主机选所有主机,协议对应三个,确定完成。
4.6条规则要有先后次序,允许的三个放在上面,阻止的三个放在允许的下面。次序不能颠倒。
补充:0x806为arp广播,而0x808我看到过说是p2p终结者会释放此包,所以这两个必须建立规则,至于那个反向arp,不太明白是啥意思,不嫌麻烦的可以一并设规则。
以上通过这样的设定就可以像chx一样过滤arp包,这样可更好地防arp和降低系统负荷,这样理论上来说那个防mac欺骗就不用勾选了,而且获得相对强 大的防arp能力,至于强到什么程度就看sygate的包过滤效率了,想必不会差到哪去,绝对比原来的默认防arp强得多。
当然还有一点要说明的是,这类防arp只是针对本机,如果是针对网关的arp欺骗除了绑定mac-ip外,没什么好的解决方法。
下面说方法:
1.在sep的网络威胁防护理选配置防火墙规则。
2.新建规则,取名为arp0806 allow (这里推荐用英文,便于规则的导入导出)状态选允许通信,远程主机选mac,输入路由或者说网关的mac,然后在协议里选以太网,选择协议,可以建立三条 规则,分别对应arp0x806,帧中继arp0x808,和反向ARP0x8035。然后确定。
3.前面是接受规则,最后要补上对应三条block arp规则,状态选阻止通信,远程主机选所有主机,协议对应三个,确定完成。
4.6条规则要有先后次序,允许的三个放在上面,阻止的三个放在允许的下面。次序不能颠倒。
补充:0x806为arp广播,而0x808我看到过说是p2p终结者会释放此包,所以这两个必须建立规则,至于那个反向arp,不太明白是啥意思,不嫌麻烦的可以一并设规则。
以上通过这样的设定就可以像chx一样过滤arp包,这样可更好地防arp和降低系统负荷,这样理论上来说那个防mac欺骗就不用勾选了,而且获得相对强 大的防arp能力,至于强到什么程度就看sygate的包过滤效率了,想必不会差到哪去,绝对比原来的默认防arp强得多。
转载于:https://blog.51cto.com/bowen/98726
1308
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
