查看: 448|回复: 0

[RouterOS] ARP欺骗技术

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-8-29 17:19 |显示全部楼层
Anywlan微信公众号
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。
0 w' x) c" W0 b* y* @) Z例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA: i2 T' j6 f) M& D3 P

# L/ Y' h' h) N" W& s1 lB用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB
7 `' f# {0 @9 g, A/ y; x: l% g. Z% ]# h
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得, X$ `' o, B% ]. c6 |; {5 _
A用户权限。/ S7 K# o: ^7 P# s/ n
各位有没有好的办法阻止ARP欺骗。
9 h/ P: Y8 X+ {; B% J! ?" n( q! ~! d# A5 f* Y, `5 B3 o3 m
# p# {& Y- r$ m# V2 r
**************************************************************************0 C9 J# |$ d- i9 U) C0 ]) x4 v
使用如下方案:) G! i. I5 x: f3 _( y) P$ e
% M' R& a1 i8 I! {5 {
ARP欺骗技术(p-mac绑定在一起来解决)
2 ~$ c1 M  }+ ^% a; h% U$ }& x+ S; z" \( x$ {: J( i4 Q
1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver2 p  U: i# W1 Q
! f# r$ F3 ?9 f
使接内网的网卡arp 使用reply-only模式1 n' A8 y8 ?& V$ z2 r/ x+ `% R% K" z
在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)7 c! t( v2 f' h# B/ Z# g/ W! V
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过
4 u& G' e$ V  `" |! W5 B1 o两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
$ U2 a, u' @, |) _9 F* G在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制
2 V% j+ }3 x- _" W0 P2 b, l在ip/input 中把不能上网的机器全drop掉6 u! s5 R- R* A3 _, _
  H% K5 d6 S7 a$ |
2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)+ `1 |7 X4 B$ {/ y/ ?

% i3 a! r- }2 P3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,- S2 i6 o# e$ U; ^  b4 O2 C
做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac
% [, S7 }' Y" }! d& }& ~绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域) o" p; O+ M8 x  Z5 P
中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。& K" @6 b' C3 Q4 _3 j  H  M! y, X' i+ c3 U

5 j2 C8 b+ ~4 x, t) }9 h( f4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了% K' {9 y2 ]. n( \4 ]
用有网管功能的交换机如:3com cisco公司的产品
$ N0 [6 w: \- L6 o" R把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)
# r+ ~' [. c8 T7 d8 B8 J7 i1 F; y) `: P( {' c$ ^
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-5-23 09:05

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表