查看: 414|回复: 0

[RouterOS] ARP欺骗技术

[复制链接]

主题

好友

564

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-8-29 17:19 |显示全部楼层
TG-NET
Anywlan微信公众号
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。8 l4 z% L% r6 M; x) j
例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA0 a+ b$ K. n  Q" M5 b, H% V

( W! P+ ^( {2 Q: E$ _8 p' q$ P1 f2 zB用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB
( x6 V9 h& R, g8 C8 m# D$ k% W% w& K
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得$ q( p- E- |7 W' ?& v
A用户权限。
5 ?" l& I' R9 c  j" {. K各位有没有好的办法阻止ARP欺骗。' ~+ k9 e2 D; s* W' p3 Z
, c- h2 s6 u+ V& H

# X- A: g( q4 t4 W; P$ v**************************************************************************
1 m0 o2 ?% v( ]) Z9 w, ^* b使用如下方案:0 {9 k. z5 N1 X$ R$ p
) m, O9 J' `! a0 \* C8 ?; `
ARP欺骗技术(p-mac绑定在一起来解决)$ h* N  b4 S+ Z3 v9 L4 N
0 x  ?" k. V! Q3 p6 ?" d
1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver
: O2 [5 z) e/ Y& |8 p6 W! x7 w) h, E1 A7 i4 D
使接内网的网卡arp 使用reply-only模式
+ Q7 Q( s+ S+ M7 [4 @; |在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)+ L0 M- r! k4 _# D; J4 a: @2 N2 a
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过1 x9 I, F! P" Q; a  _% u8 G
两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。% ?! p, A. g- n
在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制% Q9 V( ~. K6 c
在ip/input 中把不能上网的机器全drop掉0 N  l: v" U( h

4 V6 O. ~3 y5 n- V9 m1 w2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)2 M; r+ j: W% Z# u1 @
2 U; I2 G. N5 Q; f: o! M
3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,  A: \  t- ^: T/ `
做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac
  |, G0 [9 ~! w& U绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域
4 S: ~) T- M/ H, i2 _8 t1 j中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。0 ?! m# |$ d, B0 R& v

2 z) P8 Y: T4 p: C, K4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了
6 V5 w/ ~' H$ m" E# f用有网管功能的交换机如:3com cisco公司的产品
) m! R. \- o2 l3 j1 V8 p6 ^  s' N把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)
4 X* }6 a$ h! ?/ _6 W; Y$ [) S9 `+ u; V+ ~3 t, c7 I* B
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2016-12-10 18:48

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表