對這文章發表回應
發表限制: 非會員 可以發表
發表者: 冷日 發表時間: 2017/12/12 15:38:43
冷日在工作中碰上了一個需求:
阻擋 Server 與特定 IP 的通訊!
本來很直覺得想說使用 Firewall 處理不就好了!?
但後來發現該 Windows Server 因為 AD Policy 而無法調整 Firewall 設定!
第一時間想到的平日我們 Crack Software 的 Hosts 檔案。
一般那些註冊機不都會改寫 Windows 下 System32 內 Drivers 中 etc 裡面的 hosts 檔案來防止向註冊 Server 報到嗎?
現實是:hosts 只能檔 NS!無法阻擋 IP!
其次想到的方案是 Route。
簡單來說,透過增加 Static Route 讓我們 Server 和特定 IP 的機器走錯的網路卡 Routing 不就繞不到了嗎?
結果是:因為主力網卡對其他網段(0.0.0.0)的連線不能阻擋,所以第一時間 route 不到的時候,她就走 0.0.0.0 的 gateway 過去了!
最後,才想到了 ARP。
希望可以透過 Windows ARP 的 IP 實際位址轉譯表格作怪來迫使與特定 IP 的通訊被我們打斷。
答案是:破壞了 ARP 設定後,只要網卡 Refresh 一次,她就還是會對所有 Interface 進行一次測試,然後就跑去可以通的界面了!
結論:
先新增 Static Route,逼特定 IP 的 Routing 走到錯誤的路線。
在破壞 ARP 讓某些 IP 只會看錯誤的 Interface。
這樣才達成我預期的目標!在這裡跟大家分享一下經驗!
後面附上一些當年找到的資訊供大家參考!
阻擋 Server 與特定 IP 的通訊!
本來很直覺得想說使用 Firewall 處理不就好了!?
但後來發現該 Windows Server 因為 AD Policy 而無法調整 Firewall 設定!
第一時間想到的平日我們 Crack Software 的 Hosts 檔案。
一般那些註冊機不都會改寫 Windows 下 System32 內 Drivers 中 etc 裡面的 hosts 檔案來防止向註冊 Server 報到嗎?
現實是:hosts 只能檔 NS!無法阻擋 IP!
其次想到的方案是 Route。
簡單來說,透過增加 Static Route 讓我們 Server 和特定 IP 的機器走錯的網路卡 Routing 不就繞不到了嗎?
結果是:因為主力網卡對其他網段(0.0.0.0)的連線不能阻擋,所以第一時間 route 不到的時候,她就走 0.0.0.0 的 gateway 過去了!
最後,才想到了 ARP。
希望可以透過 Windows ARP 的 IP 實際位址轉譯表格作怪來迫使與特定 IP 的通訊被我們打斷。
答案是:破壞了 ARP 設定後,只要網卡 Refresh 一次,她就還是會對所有 Interface 進行一次測試,然後就跑去可以通的界面了!
結論:
先新增 Static Route,逼特定 IP 的 Routing 走到錯誤的路線。
在破壞 ARP 讓某些 IP 只會看錯誤的 Interface。
這樣才達成我預期的目標!在這裡跟大家分享一下經驗!
後面附上一些當年找到的資訊供大家參考!