ARP欺骗技术

用易-小卢

ros软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。
例如：A用户是一个可以无限制用户（可上网） MAC：AA：AA：AA：AA：AA

B用户是一个无权限用户（不可上网） MAC：BB：BB：BB：BB：BB

那么，B用户完全可以通过修改本地网卡MAC为：AA：AA：AA：AA：AA来获得
A用户权限。
各位有没有好的办法阻止ARP欺骗。


**************************************************************************
使用如下方案：

ARP欺骗技术(p-mac绑定在一起来解决)

1、软件方案（人用这个方案）（当然用ROS软路由+win2000adserver/win2003adserver

使接内网的网卡arp 使用reply-only模式
在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行）
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网，不过
两个一样会形成内网冲突。先开机的优先，不过会相同机器间，网络好慢。
在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制
在ip/input 中把不能上网的机器全drop掉

2、使用ROS软路由的hotspot服务（最好开启web缓存或代理功能）帐号给可上网的电脑，同时帐号与ip-mac也绑定在一起的用户可以上网，不过没次点上网浏览器时就打开验证窗口，用户正解才可上网。（试用企业）

3、使用win2003sp1中的dhcp工具比较不错，可以导入导出备份数据，比以前的版本方便多了，
做出个超级作用域出来，做好AD　DNS　WINS　DHCP服务，开启路由服务，在dhcp中把ip-mac
绑定在一起这样下面的客户机（mac）、做好完好的企业域安全策略，把下面的机器全加入到域
中、授权使用那些常用软件，利用哈希算法识别可用软件，用组策略封下面机器的网络接口的高级配置项，不让其乱动。管理好自己的OU。这个方案比较试用企业使用。

4、硬件方式：（有钱人做的方案）其实交换机也不是太贵了
用有网管功能的交换机如：3com cisco公司的产品
把每个端口的ip-mac做控制，如果发现mac地址不是放行的mac交换机这个口就停止工作（网吧比较适合）