请教各位:我这样能防止ARP欺骗吗?
各位走过路过的朋友、大侠、小侠,指点指点一下本菜。近来被ARP欺骗搞得头疼,
翻了N多论坛内的帖子,得知低成本解决ARP欺骗的方法——PPOE
因此有如下想法:
ROS配置成PPOE拨号服务器,
内网卡不设置IP,但开启DHCP服务器,
给客户机分配内网IP地址,DNS服务器地址,但不分配网关地址
客户机进行PPOE拨号后,如果中了ARP病毒,它的ARP广播包会向内网广播吗?别的机器能收到这样广播包吗?
如果别的机器能收到假的ARP广播包,会不会影响到内网通讯?
这样的上网方式,还会不会出现因为ARP欺骗导致整个网络断线的情况?
注:
实在没有好的办法解决,
智能或三层交换机成本太高。。
路由及客户机双向绑定不太现实,
我这里的网络不像网吧,
类似于小区宽带,
路由绑定倒是很容易,客户机绑定很难操作,
首先客户机不好配置什么启动绑定批处理文件,毕竟那是人家的机器,要是客户机重装系统后还得重新绑定。
其次客户机数量也较多,逐一绑定网关MAC工作量大,而且新增机器后也得配置,比较麻烦。
谢谢 pppoe确实能解决ARP攻击问题,因为它不存在ARP。
ARP欺骗对同网段间的内网访问好像是没有影响的? 完全能解决。 想法没有错啊!大胆去做吧。ARP是没有路由概念的,放心吧。 设置MSS没有,DNS如何 zooyo超版能再次关注,真的是非常感谢。
经过两天的测试,ARP导致整网断线的情况已经没有了,
但是还会出现网页打不开的现象。
回复zooyo超版:
客户机DNS为:采用DHCP分配ISP提供的地址方式设置,因为不定时出现网页打不开,应该不是DNS设置方面问题。
至于MSS,我在IP-firewall-mangle里面是空的,没有设置,是不是需要自己手动添加?
各个网卡的MTU采用默认的1500,未更改过。
搜索了论坛上的帖子后,自己测试了一下ISP提供的光纤线路MTU值,
直接从连接光纤的协议转换器的RJ45接口接入电脑,采用“ping 外网网关 -l 包大小” 的命令方式测试,
最大的包为1472,再大就提示Request time out.
我的问题是否跟这个值有关?
而且采用协议转换器的RJ45接口接入电脑上网的方式是一直都不会出现网页打不开的现象。
说明一下,
我的ROS服务器WAN网卡是固定的IP,
设置了两张内网网卡,一张是提供给固定IP上网的,一张是作为客户机PPOE接入。
无论客户机采用PPOE还是固定IP方式上网,均会时不时出现网页打不开的的现象,过一段时间后会恢复。
但是QQ未提示掉线。
[ 本帖最后由 laoQ 于 2007-4-3 19:44 编辑 ] 楼主,我的网络环境跟你一模一样,只不过我只用了一种(PPPOE),没有用固定IP让客户机上网,我的也会出现打开网页慢(目前只发现tom的首页打开慢),没有出现打不开的现象,但如果改用固定IP上网,则打开tom的首页很快,参考了坛子里改MSS的贴子试过,都没有什么效果,所以只好作罢,请各位高手支招。
页:
[1]