查看: 432|回复: 0

[RouterOS] ARP欺骗技术

[复制链接]

主题

好友

566

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-8-29 17:19 |显示全部楼层
TG-NET
Anywlan微信公众号
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。
! ?0 n$ R$ @/ S/ F/ h$ R4 @例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA
% x& c- L  T+ {, E( a# L+ B6 \  B! W% ~/ c$ d- ~) X/ a% }" P
B用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB  g5 }* q! e" P+ R' W3 V
$ Q, b% {3 `- ~# Q0 l
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得8 o3 q1 f. ~# g3 d$ C
A用户权限。7 p5 b$ p0 k# d# X, C
各位有没有好的办法阻止ARP欺骗。
: L; O# z+ n, u, b( J- A! v- W) b) U

5 m7 W* i4 a) s" I- W5 d, u**************************************************************************
* D, K- p  s0 y: }& S使用如下方案:
  f' S# U/ R! J1 |7 j. L/ J: s
. j( F9 w) Z% n( qARP欺骗技术(p-mac绑定在一起来解决)
7 p% u( a# ^8 ?2 j; z7 J9 p; W+ W: ~, q  N3 [
1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver
% S5 I5 N; _* y( K1 D% _, J& e  s1 N, ]: b- a
使接内网的网卡arp 使用reply-only模式* O0 l& L3 V1 ], R0 C5 }
在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行); ^4 y1 n* X4 y5 p& y) G
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过4 l1 v- T2 p! g+ A* a7 F
两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
9 L/ m) X* r) e. R, j; g4 M在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制
% C  o* ^/ f9 b% E1 K' a在ip/input 中把不能上网的机器全drop掉
  p% K" w! f! }1 ^+ t
& n) J7 m7 G& ]2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)
9 }: o" \/ v' `% x8 D* q! ?  h0 M
) |; X, l( {( N; r& P$ s0 Z3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,2 [! Q+ `- R6 q" o( X: l
做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac' u3 e$ w: P, G
绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域
8 q" |" \! G1 N+ [中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。
* ?& b" Z0 i7 \7 ~) F
, m2 `! E2 l  H  G+ R2 N, h# e4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了
+ T" X) r1 z5 s+ x4 A5 T0 _用有网管功能的交换机如:3com cisco公司的产品
& }6 p8 }- a% M1 }把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)
# C, f. @4 A9 ]5 L" |) M
+ K3 b2 D2 t; g" {6 x
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-2-22 18:46

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表