阅读:5301回复:5
用Passthru实现ARP过滤驱动的奇怪问题
我在 passthru的框架基础上(主要为windows网络与通信程序设计这本书上的一个例子)扩展实现了arp过滤驱动,但是在测试时发现很怪的问题。先说一下规则,我只建了2个规则,一个是检查本机发出的arp响应包,一个是检查收到的含有网关信息的响应包.
下面描述测试步骤,仅针对发出的包过滤: 1. A机为攻击机, 同时安装了arp防火墙, 测试目的为观察防火墙能否过滤掉同(A)机发出的欺骗包. 首先不设置过滤规则, A机假冒B机攻击网关,攻击开始后,B机不能上网. 然后B机重启,启动A机上防火墙并设置好过滤规则, 继续上面的攻击,B机无恙,可继续上网,应该说防火墙起作用了。 2.接下来还是上面方法测试,但是换成A机假冒网关攻击B机(B没装防火墙),A机在攻击前已开启了防火墙,然后运行攻击,查看输出信息,有发现并过滤了虚假向应包,但在B机检查Arp缓存记录, 发现有被攻击了, 即能发现A机的物理地址与网关一样, A攻击一直进行,B使用arp -d清空缓后,后面不再有发现被攻击记录,如果A暂停攻击,然后又继续攻击,则又重复上面情况,即在攻击最初开始的一段时间,感觉有漏包。百思不得其解。由于1,2的原理一致,如果2的漏包成立,则1应该也一样,这个时候1中的B机应该会断网才行. 请那位仁兄能帮助分析一下,是测试不当还是真有漏包或是否可忽略该清况? |
|
沙发#
发布于:2008-01-16 16:02
补充下,我测试时用的是虚拟机跟本机,不知会不会跟这有关系。。。。
|
|
板凳#
发布于:2008-01-17 17:47
实际测试环紧下没发现这问题,可以很好的防御Arp攻击。只能认定是测试环紧问题了。。。。。
|
|
地板#
发布于:2008-01-18 16:41
兄弟加入我们
QQ群:34834414 |
|
地下室#
发布于:2008-04-09 16:37
贴源码,哈
|
|
5楼#
发布于:2009-01-01 08:22
想问下楼主《windows网络与通信程序设计》这本书怎样?我现在在做一个基于内核ARP防火墙,想买来看看,不知道有没有帮助
|
|
6楼#
发布于:2009-01-01 14:36
八成又是在中间层过滤吧??
|
|
7楼#
发布于:2009-08-29 18:27
我也想买,说说怎么样
|
|