查看: 468|回复: 0

[RouterOS] ARP欺骗技术

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-8-29 17:19 |显示全部楼层
Anywlan微信公众号
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。* a( u# W: z  q& A/ h) @. q/ ~% h/ n2 F
例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA0 c2 x9 `9 l1 H; E0 Z2 U- s
# T  G0 C9 K1 c% J( b" l2 L* P0 X$ j
B用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB- \/ e. ?$ }9 u4 s" i
- w- u/ t' |- Y0 F+ d
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得4 ]. g! W- Q- }2 i+ u2 V
A用户权限。
0 W$ B% u. Z; k各位有没有好的办法阻止ARP欺骗。& q# V2 D, f, h9 U
* t  u: L6 _  d6 x1 _1 `5 r, X

. V6 y6 \! w* t" j: f( Q3 H% r**************************************************************************
: x: Y6 @9 V& Z. w使用如下方案:
/ x6 K2 n1 T& l2 U8 p" m
, _; U; {' Q% j* [! JARP欺骗技术(p-mac绑定在一起来解决)
9 g8 x4 l) A; r, {  I0 j* o* x9 y7 M+ v" Q* E
1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver6 G3 R4 B5 o( @/ i" N

/ E0 Y6 o; j+ R! B使接内网的网卡arp 使用reply-only模式
7 \) z; G3 G) {5 ]: @9 g在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)4 @0 S5 v. F) {- P6 A
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过! @& K/ M. ~) T
两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
: m( p" Q3 [6 y3 d0 M在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制
; B9 Y: d9 [" e; v6 F3 C2 W在ip/input 中把不能上网的机器全drop掉
0 }6 c8 @$ N$ h3 x+ U' q: v: O
3 B2 h$ a3 V* M# _2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)* p& y+ F0 [9 J& x

- |3 J* E1 |* n  {2 o6 L# s3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,
, [, e1 A. n% ^4 O7 s+ _+ n做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac
7 {7 e8 z# B+ ?3 D! _# S绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域$ e7 e( k' a" j" H! V
中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。1 j! b% q: ^3 [2 A9 A$ l

1 J- j4 q; i; n# D5 i4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了
% l0 |1 }/ x3 v6 q4 _+ B* v) J用有网管功能的交换机如:3com cisco公司的产品7 G* [) l* Z) y
把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合); ^" ^$ K$ r. D, ]
4 L+ @6 }. h* j( Q
您需要登录后才可以回帖 登录 | 加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图

GMT+8, 2017-11-18 14:25

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表