查看: 423|回复: 0

[RouterOS] ARP欺骗技术

[复制链接]

主题

好友

566

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-8-29 17:19 |显示全部楼层
TG-NET
Anywlan微信公众号
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。: R5 o/ X' V  t+ K$ d7 r7 g- {6 h- d
例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA, n  b2 h7 N7 k. A

' [0 {+ C/ }# B2 LB用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB
( p, x# j8 e( p" |( ^. J8 ?, ~. ]# e! F" `: ~7 b* a
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得
' H# Y' T' q8 q6 ZA用户权限。: y4 F2 }5 o/ n3 \, k
各位有没有好的办法阻止ARP欺骗。0 j/ w8 r- i: r3 E& g9 _
8 L5 ]1 v' l" T& J. @: O
; F0 P+ k: G3 g: R
**************************************************************************4 f8 M$ Q- a0 ]! V# n
使用如下方案:
4 A- e7 M5 t) {1 U% T" ?3 ~# S9 N- f* v5 t2 v; y3 B
ARP欺骗技术(p-mac绑定在一起来解决)
% z# i4 H8 T+ a. F/ @2 @9 r; G( r% P/ {
1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver
6 ]! [. X3 o, @. c
/ u( W' D4 Z8 {, k# K5 |使接内网的网卡arp 使用reply-only模式
3 m4 B) X) A. |& ^: D) }: B& z在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)
3 b7 A+ x. p- i. t只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过
9 }# u; `8 Z! i: D9 l两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
6 a8 u3 [6 U4 k在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制% z/ O4 s# N2 W* ^% O1 X- [. `
在ip/input 中把不能上网的机器全drop掉
6 x) X# ]" E/ |" Z/ c# @$ @2 G
' z# ^+ c% ~  v/ X5 ^. I2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)1 i4 n2 d2 N1 t) S" b3 H

, T5 R9 w# B# X0 m3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,5 J% L$ u/ a- Y$ H" l: a4 j9 H
做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac
' O- x  j! {& B: ]绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域( w! N8 A) ^7 L
中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。8 J2 K: I8 ?7 H0 o; u: K

7 E; \2 `8 n6 P4 H* _, r0 A4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了+ q# x8 [9 @/ s' s
用有网管功能的交换机如:3com cisco公司的产品
7 m* t3 c9 s  @+ w0 T) a! A把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合): \5 T  w0 ~/ t3 M( i6 W

8 M' A( D) a6 q( i1 J: ~4 F
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-1-17 03:24

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表