669541687 发表于 2012-3-3 23:53

反“QQ安全管家,360防ceng,金山卫士防ceng”解决方案

QQ安全管家,360等争相推出防ceng解决方案,经过数天的调试,从x86和MIPS平台(路由)两方面提供解决方案,完全屏蔽ceng扫描。

首先针对PC平台:
PC平台我们视为直接用网卡连接被蹭路由,即PC—-Router—-WAN的简单拓扑。
为了安全起见,首先打开连接状态,属性,取消勾选Microsoft 网络客户端,确定,关闭:


其次,安装ARP防火墙:

在工具,选择基本参数配置,勾选安全模式:

就这样,成功屏蔽了非网关的ARP探测。

但是,并不是所有ceng的用户都是通过网卡直接ceng,有相当一部分用户是通过中继设备连接被蹭端,自己再有线或无线连接自己的设备的,我们需要在路由上做一些设置。这里以dualwan路由V1.28 0536版作为测试。
首先,用无线网卡连接被蹭端,运行防ceng扫描:

一直第一台设备为中继(ceng端),第二台设备为PC(主人),第三台设备为本机。
记录主人端MAC地址,每两个十六进制位用“-”分割。
回到中继,telnet上路由:
运行:
arptables -A INPUT --src-mac 主人MAC -j DROP
如果没有回显,则证明成功。

可以把主人的MAC换成自己网卡的MAC,测试一遍。

然后进入路由,把上面的脚本保存为启动脚本:

路由端屏蔽防ceng检测的方案完美宣告结束,值得一提的是,ddwrt中对arptables的支持似乎并不好,dualwan原生集成,openwrt可以挂载模块生效。对于ddwrt的进一步解决方案,笔者会另行研究。

原理分析:

经过抓包发现,在执行ceng检测时,程序向网段每个IP都发送了1-3次ARP请求:

随后用ICMP检测存活:

最后用NBNS检测主机名:

一次探测大约产生了40KB的数据IO:

由于先探测ARP,对于ARP不响应的IP不予回应,所以屏蔽了ARP探测,理论上可以不屏蔽ICMP回应,直接越过检测,在局域网中隐身。
实际操作也证明了这一点。

针对防ceng软件提供商的修补方案:
同路由商家协作,建立API,直接从路由节点调用路由表分析数据,避免采用ARP扫描。
反防ceng解决方案一文经72小时的调试宣告结束,转载请注明Wifibeta.COM,尊重作者劳动,谢谢!

23苹果 发表于 2012-3-4 00:03

沙发!
谢谢楼主分享!很不错的资料.

cai1 发表于 2012-3-4 00:11

好贴啊收藏 了

jinpin 发表于 2012-3-4 00:13

这个要支持,顶你屁屁

cai1 发表于 2012-3-4 00:14

我想知道openwrt的防ceng模块

cgel 发表于 2012-3-4 00:29

谢谢分享!:victory:

zmj2005dnb 发表于 2012-3-4 01:09

cai1 发表于 2012-3-4 00:14 static/image/common/back.gif
我想知道openwrt的防ceng模块

安装arptables   kmod-arptables

husx7701 发表于 2012-3-4 01:15

谢谢分享!:)

吴聊生活 发表于 2012-3-4 09:47

谢谢楼主分享!很不错的资料.

qxp1234 发表于 2012-3-4 10:00

谢谢楼主分享!

hansang 发表于 2012-3-4 10:13

很不错的资料,谢谢楼主分享!

lijun2010 发表于 2012-3-12 00:48

很不错的资料,谢谢楼主分享!
页: [1] 2 3 4 5
查看完整版本: 反“QQ安全管家,360防ceng,金山卫士防ceng”解决方案