查看: 452|回复: 0

[RouterOS] ARP欺骗技术

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-8-29 17:19 |显示全部楼层
Anywlan微信公众号
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。/ A; `' Y/ V* ]& l5 @9 ?$ o
例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA
9 Z4 L$ `% E' ~+ _" O. ]6 e7 k
3 h1 m" H( d5 c! K7 Y- P. SB用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB5 L! w3 v2 x) m8 u+ `0 \
# Q' g# v% K7 H2 |0 g2 k
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得/ |. B) o; x6 r
A用户权限。
" i+ o, z: t1 F( e1 t5 y$ W. S各位有没有好的办法阻止ARP欺骗。* w7 v% V9 W+ F9 i& ^4 ?5 }* l

- W. p% ]9 G: J. ~# |9 {' Z8 b0 H3 K$ V( O9 s4 O& K, [7 T
**************************************************************************: l6 A0 s% e5 c4 F2 O6 c, g/ _
使用如下方案:9 q. i* b2 i+ q; M4 i+ s

7 i' s* |3 T* o- P3 j. k% SARP欺骗技术(p-mac绑定在一起来解决)
; u8 @8 e/ G. {- F1 j
! K& H: c# F! _7 a) T$ p# j( D1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver
2 {: b: i8 ?8 e1 W/ I5 N( T/ w
) v( O. V5 r3 m) q. `' e; G# w使接内网的网卡arp 使用reply-only模式
7 [1 I- f$ ^3 p在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)8 U! \+ l* i4 P3 h
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过. I4 |# w1 Q: g1 C6 {+ G
两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。4 m( \6 U( r3 K. T
在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制+ ~1 h+ c; E1 J1 E0 f3 F6 [
在ip/input 中把不能上网的机器全drop掉( {, Z2 v3 x6 _3 w
  S4 t$ y" a* R5 K) y3 k
2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)3 Z  a/ J5 w* c

. H2 R' r  D& ~# V% d3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,
+ T/ W, i2 G$ e$ H7 ~, g6 g- p2 b做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac: C4 p. L9 a! U* s5 K1 i) X% x$ p
绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域# V+ P  l  d% m. R: L8 a
中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。& z; Q# g$ ^( D9 l
& y$ E3 g$ z# O" y8 [
4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了$ V. D" v( {* |' w6 j; f; f
用有网管功能的交换机如:3com cisco公司的产品% o6 P* R% d! v# u5 P; E( I5 k
把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)8 ]; I* B; m2 i) c
# j) t5 Z8 t! b5 C8 N0 _
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-6-29 11:50

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表