· 完美空间提供500M免费AS 04-10 · 企业安全之YY内网准入以 04-09 · 企业安全之意识与策略 04-09 · 剑走偏锋:IIS漏洞利用 04-09 · 我来免费网提供100M免费 04-09 · 1122mb.com提供20G超大免 04-08 · 映像劫持与反劫持技术 04-07 · 让所有"暴力删除工具"无 04-07 · 入侵88red系统的详细过程 04-07 · Sql Injection脚本注入终 04-07 · vbs+delphi 反弹后门生成 04-07 · 飞讯网提供100MB免费PHP 04-07 · 突破SQL注入攻击时输入框 04-04 · 结合内核和病毒技术的最 04-04 · Real Player rmoc3260.d 04-04 · 亿万网络今月最后为您提 04-04 · php+mysql 5 sql inject 04-03 · Real Player rmoc3260.d 04-03 · oblog文件下载漏洞 04-03 · 免费啦提供1G-2G免费全能 04-03 · 完全解析网页后门和挂马 04-02 · 一句话开3389（只测试过 04-02 · 萧萧免费空间网提供100M 04-02 · 谷道免费空间网提供1G免 04-01 · 从本地入手解决双线路由 03-31 · sablog 1.6 多个跨站漏洞 03-31 · 富文本编辑器的跨站脚本 03-31 · Cookie注入是怎样产生的 03-31

 

LnS 设置

    LnS 可以拦截所有的 ARP 数据包(默认规则中的倒数第二条，将它禁用或拦截)，这样安全倒是安全了，但我们的机器也就成孤儿了，不能与任何人通讯了。所以必须对信任的主机设置放行规则，而网关就是必须放行了，否则外网也不能上了。

    对于我们假设的子网环境，设置如下：
    ① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF   (允许本机广播出站)
    ② FF:FF:FF:FF:FF:FF <= 11:11:11:11:11:11   (允许网关广播入站)
    ③ 22:22:22:22:22:22 == 11:11:11:11:11:11   (允许本机与网关相互应答)
    (三条规则的图解见后面的附件)

    需要局域网共享，则对每台要共享的主机增加如②③的两条规则，将网关的MAC改为信任主机的MAC。
    有点麻烦，每台主机需要加两条规则，而防火墙的规则是越少越好，且 LnS 的规则数很容易达到上限，所我们对设置稍微进行一下妥协：对入站的所有广播放行，不要对每台信任的主机添加规则。有人会觉得这样不安全，因为任何非信任的主机都可以向本机发送查询广播，实际上不必担心，因为没有相应的放行应答出站的规则。(你要就要吧，我就不给你钱，你能咋地？)

    优化后的规则如下：
    ① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF   (允许本机广播出站)
    ② FF:FF:FF:FF:FF:FF <= 全部                (允许所有查询广播入站)
    ③ 22:22:22:22:22:22 == 11:11:11:11:11:11   (允许本机与网关相互应答)
    ④ 22:22:22:22:22:22 == 信任主机1                
    ⑤ 22:22:22:22:22:22 == 信任主机2
       ……

    ※ 最后，将倒数第二条规则改为拦截(第二列红杠)或禁用(取消前面的勾)。
    不必担心禁用，最后一条规则会拦截所有未匹配的数据包(前提是没有修改该规则)

LnS 过滤方式

    论坛出现了几种ARP设置方式，其实从原理上说，要实现的目的是相同的，拦截该拦截的，放行该放行的。但其中有某方法是错误的，有些看起来不一样，实际上与Z老大的置方法是相同的。

    防火墙可以用黑名单过滤方式(禁止非信任的，其它允许)，也可以用白名单过滤方式(允许信任的，其它禁止)，也可以混合运用。过滤目标的选择方式又分直接选择和补集选择。
    我上面的规则说明使用的是白名单方式，也就是上面列出的规则是要放行的，然后需要一条拦截所有的规则(就是倒数第二第规则，拦截或取消)。

    是黑名单方式好还是白名单方式好呢？普遍性的原则应该是优先选择目标少的。假如有10种数据包要过滤(将数据包用1到10编号)，1、3 号是应该放行的，其它是应该过滤的。

    则们可以选择白名单方式：
        放行1(白名单)
        放行3(白名单)
        拦截所有
    也可以选择黑名单方式：
        拦截2(黑名单)
        拦截4(黑名单)
        拦截5(黑名单)
        …… (黑名单) 
        拦截10(黑名单)
        允许所有
     对比之下当然应该选择白名单方式。

    变种一：
        允许1或3 (白名单的一种选择方式)
        拦截所有
    变种二：
        拦截 非1且非3 (黑名单的一种选择方式)
        允许所有
    注意两个变种方式，它的选择目标用到了组合，如果防火墙能实现这种规则，当然效果是一样的，但 LnS 的 Arp 规则中只能填入一条 MAC 地址。特别变种二方式，相加的组合是不能拆分成多条规则达到相同的拦截目的的。

    变种二就是那个禁止非本机到非网关的双向规则，倒数第二条改成允许的方法。此方法等效于前面“LnS 设置”部分针对网关的三条规则中的最后一条，其它的都被拦截了。应该说这是一种错误的方法，该方法仅允许本机与网关的应答数据包通过，倒数第二条规则只能匹配本机与网关间的应答。但光有应答不行，还得允许广播，才进正常进行ARP查询。

    那么为什么使用变种二方法的网友实际中“可行”了？说可行是因为过滤太严格，能防止绝大数大ARP欺骗，加引号是因为可行是暂时的，连续的长时间测试，很可能会断网的。
    这跟具体的网络环境有关系，可能的原因比较多。一种可能的原因是LnS有BUG，过滤起作用在本机与网关建立连接之后，或者使用了静态MAC、指定IP避免DHCP租约失效之类，具体的我也分析不清楚。但从原理上说，这方法是错误的。

安全是相对的

    防止ARP欺骗最好的办法在网关和各子机上均采用静态MAC绑定。防火墙只能增加安全系数，不能保证绝对完全，一是因为防火墙可能有BUG或者功能本身不完善又或者设置不善，二是现实中的妥协可能存在漏洞。比如本机为了上网信任了网关，同时为了共享信任了主机B，但主机B是没有任何安全防护，攻击者可以从主机B下手，迫使主机B当机后将自己伪造主机B的IP与MAC，获得与本机通讯的能力后再用其它办法攻击，更严重的情况是如果网关本身不安全，那么在本机上如何防护都不能取得较好的效果。

Look n Stop 使用指南

Look n Stop V2.05 p3 简体中文注册版下载