查看: 445|回复: 0

[RouterOS] ARP欺骗技术

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-8-29 17:19 |显示全部楼层
Anywlan微信公众号
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。& C: z7 I+ h7 Q7 a! ?6 }( M
例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA
; N( N' |- I* ]2 X" o' ]! O5 E
" q1 |( M* w# u, w6 V$ x3 \B用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB
4 Y6 V- ?, S/ N' L: N
) G! {$ E& q  H那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得
) O0 R' b! t1 g: O! T' gA用户权限。
: x; [  V$ v( @! N各位有没有好的办法阻止ARP欺骗。6 ?% k( Y3 e& ~( v! m. X

  P# K% z" m3 ]% C: R6 h# r( v: w) X0 s. C, F1 u1 y# H
**************************************************************************
( f1 ]" k# \0 C  o使用如下方案:
, ]1 j4 o$ ~, k$ ^# Y0 V" ^; v' [) U
ARP欺骗技术(p-mac绑定在一起来解决)
# {- U- Z) a6 x! }
, g0 c5 L0 g0 v$ |1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver* W: q4 u2 s+ U2 a6 `
/ X/ ?! \/ Y2 L7 g$ g5 y
使接内网的网卡arp 使用reply-only模式
4 {8 \5 @& Z) o3 F% L( E在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)8 d  P+ R6 y) J# l: ^  ^( U
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过
7 W+ \/ m+ w$ i: k. H两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
5 m! T. c! M0 \/ i. b在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制
  Q/ g% p$ A) _7 |) e在ip/input 中把不能上网的机器全drop掉( _$ Y$ V( D. Y2 F, Q1 ]

, Z" @0 g( }! S( c! G2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)0 x1 Z2 o' I2 m# r* u5 K  X

) o  A7 u% N. d/ M4 W3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,
/ c5 B+ u5 M2 r. i& F( _& v做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac
5 J2 M6 g. R( ]. M绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域
1 {3 s2 n2 P- J9 n/ [8 b. P中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。
, R% _8 N/ q6 K& ]; K/ U1 l( c/ d0 Z
4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了
( w$ Z2 h2 \$ E5 |; z) _: w用有网管功能的交换机如:3com cisco公司的产品
5 o  U! e; M0 U# H% ^& r把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)
4 w* R1 k3 H8 t/ a# {7 m6 }. w3 P" q+ ?
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-4-29 23:35

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表