ssffzz1 发表于 2006-11-22 08:41:05

PPPOE的方法能奏效吗

刚才看到了关于用PPPOE来防止ARP攻击的办法,就是把网关做成一个PPPOE服务器,内网的机器作为PPPOE客户端,来拨号上网,说这种办法可防止ARP攻击。不过为个人认为应该不可以,因为PPPOE也是封装到802.3帧当中去的,如果MAC改了,那不还是不能和网关通讯吗?,不知道我个人理解的对不对,欢迎各位哥哥指教。

tassel 发表于 2006-11-22 09:17:00

回复 #1 ssffzz1 的帖子

PPPOE服务器要验证客户端的MAC地址,即:将客户端的MAC地址与服务器端存储的MAC地址比较,一致了才放行。所以客户端MAC改了根本就无法拨号

ssffzz1 发表于 2006-11-22 09:31:29

我是想如果PPPOE已经建立连接,那么在传输过程中,如果出现了ARP病毒,根据ARP缓存的策略,服务端或客户端的MAC会发生变化,那么这是PPPOE的链路还能维持连接吗。即是否受ARP病毒影响。

tayuly 发表于 2006-11-22 10:08:05

本网吧已经用了三个月,经查网内个别机器有ARP病毒,但从来都没有因为ARP掉过线,我想效果还是不错的

zooyo 发表于 2006-11-22 10:50:47

是能解决ARP问题,我自己没试过。

caozjingkof 发表于 2006-11-22 11:04:53

我也试了一个月,可以解决ARP问题,

platinum 发表于 2006-11-22 11:13:18

楼上两位的拓扑结构是什么样的?

parphy 发表于 2006-11-22 11:38:41

我觉得,关于PPPOE防ARP这样理解就变简单了,象VPN一样,PPPOE拨通后,在服务器端相当于单独虚拟了一个接口,仅此而已
没能饶过这个弯,可能是你对LINUX系统比较熟悉,但对设备不是太熟的原因

[ 本帖最后由 parphy 于 2006-11-22 11:40 编辑 ]

platinum 发表于 2006-11-22 12:40:42

原帖由 parphy 于 2006-11-22 11:38 发表
我觉得,关于PPPOE防ARP这样理解就变简单了,象VPN一样,PPPOE拨通后,在服务器端相当于单独虚拟了一个接口,仅此而已
没能饶过这个弯,可能是你对LINUX系统比较熟悉,但对设备不是太熟的原因
当你开始拨号的时候,握手过程完全是 L2 的,PPPoE 是 PPP over Ethernet,与 VPN 完全不同的两个概念
若大家都是在同一个二层网络里,ARP 广播是任何人都可以收到的,无论你是否进行了 PPPoE 拨号
但具体是否可以阻止 ARP 攻击还需要对 ARP 协议更加了解以及抓包分析才可以下定论

ssffzz1 发表于 2006-11-22 13:09:31

我决定,亲自试一下吧.不过我没有哪个ARP攻击程序.总之我尽力实验一下.毕竟理论不等于实践吗.

专卖精品 发表于 2006-11-22 13:37:58

原帖由 ssffzz1 于 2006-11-22 13:09 发表
我决定,亲自试一下吧.不过我没有哪个ARP攻击程序.总之我尽力实验一下.毕竟理论不等于实践吗.

支持你!可惜我也没有ARP攻击软件


我做的客户里面都是用PPPOE的,没有出现ARP攻击的情况

tassel 发表于 2006-11-22 15:20:32

1、在第二层传输中,双方以太网帧的目的地址和源地址均要确定下来,中途改变会影响通信,但是在PPPOE的虚拟通道中只会影响你自己的客户端和网关的通信。
2、ARP是要在PPPOE虚拟通道建立以后才建立的。

所以,客户端IP-MAC地址的任何改变只会影响你自己。

专卖精品 发表于 2006-11-22 15:44:14

ARP攻击不会改变自己的IP和MAC吧,他仅仅是欺骗别的工作站,让别的工作站的网关IP和MAC对应到自己这里来吧!不然他欺骗的意义就不大了,除非纯粹就是想攻击网络瘫痪!

ljc_168 发表于 2006-11-22 15:46:09

我觉得是可以防ARP病毒的,就算个别电脑中了ARP病毒也不会影响到整个网络,只会影响这台机!

parphy 发表于 2006-11-22 15:55:58

原帖由 platinum 于 2006-11-22 12:40 发表

当你开始拨号的时候,握手过程完全是 L2 的,PPPoE 是 PPP over Ethernet,与 VPN 完全不同的两个概念
若大家都是在同一个二层网络里,ARP 广播是任何人都可以收到的,无论你是否进行了 PPPoE 拨号
但具体是 ...


1、
看来有点误会,PPPOE与 VPN 是完全不同的两个概念,这点我当然清楚,但不能只看不同,而不看共性,我说的就是共性问题,无论是终端还是接入设备上,PPPOE都会单独虚拟一个接口
这一点是为了帮助理解,如果不能理解就算了

2、
//若大家都是在同一个二层网络里,ARP 广播是任何人都可以收到的,无论你是否进行了 PPPoE 拨号
你的这个理解是错误的(TCP/IP的基础知识不够扎实),ARP是对本网广播才有效的,也就是说192.168.0.x/24的主机是不会被一个声称192.168.1.x/24的ARP所欺骗的,
(因为不同网段的IP宣称是不会被写入到ARP list或cache里的,如果真的可以写入,那就根本不需要路由器了)不信你自己可以试验或查资料——一定收到并不代表一定被骗,被骗需要特定的条件!


3、
如果用了PPPOE还会被欺骗,一般在极端情况下才会出现,如你的网卡设的IP正好与PPPOE得到的IP在同一网段!

4、PPPOE防ARP欺骗的原理如下:
假设被欺骗的机器上只有一个interface,如果PPPOE拨号成功,那就总共只有2个对外接口,外部欺骗者只能通过这两个接口进行欺骗,
先看PPPOE接口,由于,被骗者并没有与欺骗者建立PPPOE连接,因此,除非欺骗者除非模拟了PPPOE的直连才能进行进一步的ARP欺骗(这个难度要比ARP欺骗本身大得多了不止100倍)
再看
再看普通网卡,欺骗者可以轻易欺骗与它直连的网卡,但无法知道PPPOE所在的那块网卡绑定的IP,因此最多只能影响内部局域网IP部分的通讯,而对其他通讯不能造成影响,
比如基于IP的帝国时代可能掉线,而对基于IPX的红警没有影响,对PPPOE的上网也没有影响
页: [1] 2
查看完整版本: PPPOE的方法能奏效吗