|
2006-04-19, 02:55 PM
|
#1 |
注册日期: 2003-10-22
帖子: 11,053
积分:6
精华:24
现金:14348金币
资产:29325305金币
 |
【转贴】8Signs Firewall应用
用于逃避内网使用arp欺骗原理 网管软件的监视,如:网络执法官、聚生网管等。(不适用于网关型代理服务器或交换机Port Mirror的监控模式): 一、原理就不说了,首先检查内网是否有人在使用此类网管软件。 运行 arp –a 如下图可看到本机arp表里有两个IP的MAC地址是一样的,192.168.2.1是网关IP。而192.168.2.23这个IP。正在使用此类网管软件,它正在进行ARP欺骗。 Snap25-i.jpg 二、 安装8Signs Firewall软件 Snap01.jpg Snap02.jpg 三、 安装好后重新启动计算机,将原来firewall默认的ARP规则禁止或删除掉,如下图所示: Snap04.jpg |
|
|
|
2006-04-19, 03:00 PM
|
#2 |
|
注册日期: 2003-10-22
帖子: 11,053
积分:6
精华:24
现金:14348金币
资产:29325305金币
声望: 395
|
四、 然后在Rule菜单下建立可信任的IP Address Group,如下图: Snap05.jpg 五、 建立组名: Snap06.jpg 六、 加入网关的IP地址192.168.2.1: Snap07.jpg 七、 在Rules菜单下建立可信任的MAC Group Snap08.jpg 八、 建立MAC Group 名: Snap09.jpg |
|
|
|
|
2006-04-19, 03:05 PM
|
#3 |
|
注册日期: 2003-10-22
帖子: 11,053
积分:6
精华:24
现金:14348金币
资产:29325305金币
声望: 395
|
九、 输入网关设备的真实MAC地址: Snap10-ii.jpg 十、 新建ARP规则: Snap11.jpg 十一、 规则描述: Snap12.jpg 十二、 选择前面已经设置好的Allow Lan IP Address: Snap13.jpg 十三、 选择Allow: Snap14.jpg |
|
|
|
|
2006-04-19, 03:09 PM
|
#4 |
|
注册日期: 2003-10-22
帖子: 11,053
积分:6
精华:24
现金:14348金币
资产:29325305金币
声望: 395
|
十四、 运行gpedit.msc : Snap15.jpg 十五、 添加计算机启动时运行的批处理文件,用于绑定网关的IP和MAC地址: Snap16.jpg 十六、 建立“Allow Lan MAC List.bat”文件,内容如下图,并把文件放到 C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup 目录下: Snap18.jpg 十七、重新启动计算机完成设置。被8Signs Firewall拦截到的ARP包,如下图,乖乖,你看那网管软件整网段狂发ARP包。 Snap24.jpg |
|
|
|
|
2006-04-19, 03:12 PM
|
#5 |
|
注册日期: 2003-10-22
帖子: 11,053
积分:6
精华:24
现金:14348金币
资产:29325305金币
声望: 395
|
十八、设置取消Log日志:
|
|
|
|
平板模式
