查看: 464|回复: 0

[RouterOS] ARP欺骗技术

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-8-29 17:19 |显示全部楼层
Anywlan微信公众号
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。
4 w  N' R3 B# Y2 B0 @$ q. K例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA6 Q4 X1 `; ]8 h0 \& p9 V  E1 _) _

, a5 b+ Y4 g) x% S' VB用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB8 p3 _7 q. w" Z( b0 Y7 k2 u
+ l6 z7 ~# a& q7 `! X2 Q
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得* O- y2 a9 g" q
A用户权限。- t- M* H( `0 V. V( H4 M# I3 H
各位有没有好的办法阻止ARP欺骗。9 k9 `: p+ q! l

1 G# _# S' `6 Y: J* H% p6 k7 g' a! J& l! K) t
**************************************************************************: b# p: U' C" M" Y. T5 m  L; D
使用如下方案:4 J$ @. Q9 E7 l2 \

4 y- M7 v  W: NARP欺骗技术(p-mac绑定在一起来解决)
% y7 Q: b2 R( k: A5 ~* Y* R# @# _
1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver# n" d: G, ]9 T: @8 a
6 u+ \1 ?) }! t) {9 d
使接内网的网卡arp 使用reply-only模式8 l6 P# t7 O$ A2 t% L
在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)$ N9 \4 M6 s0 p% f7 |3 [
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过
% j, t% S( w7 H4 S0 v两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。4 o3 l2 {2 k2 ?0 d7 A( T! r
在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制* l" K/ ~7 u1 C4 X+ u/ g
在ip/input 中把不能上网的机器全drop掉
- J" x, Q0 m) M8 k( i! i$ ~8 |  L: S# x, F
2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)9 k  T9 e2 ^" T5 a& e
/ A+ c1 i4 F. \) ^6 e+ j1 C0 A
3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,
% m, @' S: Y% F3 Q4 @做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac4 q! T! x  t5 G) A8 X& f- g3 K
绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域9 S0 x4 W( o: `$ @# T) ~8 k' x9 ?
中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。* D' \- c( T  {. V2 l4 H0 }
- O' p, r% M: `1 k0 |
4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了
5 {4 j5 t- w( c- v用有网管功能的交换机如:3com cisco公司的产品$ Q/ t* I7 B5 B( u8 t
把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)
, b/ j5 ~% m/ U4 G. g0 X( m0 {( H) q& S% P% _
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图

GMT+8, 2017-9-25 23:18

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表