查看: 440|回复: 0

[RouterOS] ARP欺骗技术

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-8-29 17:19 |显示全部楼层
Anywlan微信公众号
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。/ j7 U3 T4 V  e+ O; R5 Z
例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA1 j- O) \, f" R/ F1 E! M
3 h+ b! }/ s& O4 Q, \
B用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB
. Q$ d  a; l1 D' L3 `  ^! j6 u. k6 j9 E1 a3 i/ ~6 p  r, Z7 V
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得7 F2 a' p6 M2 I( l+ F/ e1 y+ d) z
A用户权限。
) C1 h/ i% W# F6 R各位有没有好的办法阻止ARP欺骗。* X' P% }4 f7 ?" D
0 j; n) R4 f. S
7 M( U7 z3 e4 `% n& m5 F# {
**************************************************************************. f6 s0 h; P* F' x$ u# R$ m  y* G
使用如下方案:; K  w& m0 K; R- h

% }3 K" B& _. B4 `4 ^9 _: ~ARP欺骗技术(p-mac绑定在一起来解决)
* s( @7 s( x; C2 e: L/ R7 e
  T+ j* `+ c, w1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver
; Y& l$ W9 A( r% q$ u& y4 H. x8 m/ F
! r7 x' o- K, |使接内网的网卡arp 使用reply-only模式% I* f: K/ b/ o
在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行): F* ?' p% k2 j9 f& s
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过+ D7 j" R) a8 ?
两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
6 m4 U6 `2 N+ f- v/ B9 K6 c在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制; Z. J. U) Y! ]& j/ P  k
在ip/input 中把不能上网的机器全drop掉$ L% U( q( V$ I. B
: l! y5 V+ g& J+ Z  M1 r* x
2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)- k. x; x: M' Y! Q3 L/ C" }. I

! C6 H& J( e6 a2 }+ ^3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,
6 m0 ?/ d; G( P$ E) W: H做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac
  b" ~4 L' j8 ?& h" y绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域/ B% |  ?5 [* ~  I  P
中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。& O' I6 U! _5 O* T0 C
2 p+ n8 K, m3 b
4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了
  s+ T  {( N  L* [, J4 c用有网管功能的交换机如:3com cisco公司的产品
' |9 u. ^. }) j把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)9 [7 g! V! ~& ?, b

7 m8 S9 g3 R2 f1 ]1 e. g1 P
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-3-31 08:24

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表