反“QQ安全管家，360防ceng，金山卫士防ceng”解决方案

669541687

QQ安全管家，360等争相推出防ceng解决方案，经过数天的调试，从x86和MIPS平台（路由）两方面提供解决方案，完全屏蔽ceng扫描。

首先针对PC平台：
PC平台我们视为直接用网卡连接被蹭路由，即PC—-Router—-WAN的简单拓扑。
为了安全起见，首先打开连接状态，属性，取消勾选Microsoft 网络客户端，确定，关闭：


其次，安装ARP防火墙：

在工具，选择基本参数配置，勾选安全模式：

就这样，成功屏蔽了非网关的ARP探测。

但是，并不是所有ceng的用户都是通过网卡直接ceng，有相当一部分用户是通过中继设备连接被蹭端，自己再有线或无线连接自己的设备的，我们需要在路由上做一些设置。这里以dualwan路由V1.28 0536版作为测试。
首先，用无线网卡连接被蹭端，运行防ceng扫描：

一直第一台设备为中继（ceng端），第二台设备为PC（主人），第三台设备为本机。
记录主人端MAC地址，每两个十六进制位用“-”分割。
回到中继，telnet上路由：
运行：
arptables -A INPUT --src-mac 主人MAC -j DROP
如果没有回显，则证明成功。

可以把主人的MAC换成自己网卡的MAC，测试一遍。

然后进入路由，把上面的脚本保存为启动脚本：

路由端屏蔽防ceng检测的方案完美宣告结束，值得一提的是，ddwrt中对arptables的支持似乎并不好，dualwan原生集成，openwrt可以挂载模块生效。对于ddwrt的进一步解决方案，笔者会另行研究。

原理分析：

经过抓包发现，在执行ceng检测时，程序向网段每个IP都发送了1-3次ARP请求：

随后用ICMP检测存活：

最后用NBNS检测主机名：

一次探测大约产生了40KB的数据IO：

由于先探测ARP，对于ARP不响应的IP不予回应，所以屏蔽了ARP探测，理论上可以不屏蔽ICMP回应，直接越过检测，在局域网中隐身。
实际操作也证明了这一点。

针对防ceng软件提供商的修补方案：
同路由商家协作，建立API，直接从路由节点调用路由表分析数据，避免采用ARP扫描。
反防ceng解决方案一文经72小时的调试宣告结束，转载请注明Wifibeta.COM，尊重作者劳动，谢谢！

23苹果

沙发!
谢谢楼主分享!很不错的资料.

cai1

好贴啊  收藏 了

jinpin

这个要支持，顶你屁屁

cai1

我想知道openwrt的防ceng模块

cgel

谢谢分享!

zmj2005dnb

cai1 发表于 2012-3-4 00:14
我想知道openwrt的防ceng模块

安装arptables   kmod-arptables

husx7701

谢谢分享!:)

吴聊生活

谢谢楼主分享!很不错的资料.

qxp1234

谢谢楼主分享!

hansang

很不错的资料,谢谢楼主分享!

lijun2010

很不错的资料,谢谢楼主分享!