boylei767 发表于 2005-2-17 18:27:26

问了N多人都不知道!(arp欺骗)什么型号的核心交换机(问了N多人了,Cisco,华为,Dlink,Tplink,联想的工程师,没有一个可以给出肯定的回答,其实就是不知道)可以防范arp欺骗??????????只要核心交换机上支持IPmac绑定就可以防范arp欺骗么??这个问题,我几乎问遍了所有的公司的工程师,都没人回答出来。。。80%的人还不知道arp欺骗是什么!!就是这几天我问的。。。。估计他们以后就知道什么是arp欺骗了。。。。

hb2k 发表于 2005-2-17 19:20:44

(转)ARP欺骗的原理如下:  假设这样一个网络,一个Hub接了3台机器  HostA HostB HostC 其中  A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA  B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB  C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC  正常情况下 C:\arp -a  Interface: 192.168.10.1 on Interface 0x1000003  Internet Address Physical Address Type  192.168.10.3 CC-CC-CC-CC-CC-CC dynamic  现在假设HostB开始了罪恶的ARP欺骗:  B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址,没有和犯罪分子B相关的证据,哈哈,这样犯罪分子岂不乐死了。  现在A机器的ARP缓存更新了:  C:\>arp -a  Interface: 192.168.10.1 on Interface 0x1000003  Internet Address Physical Address Type  192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

hb2k 发表于 2005-2-17 19:25:33

...当A接收到B伪造的ARP应答......阻断这个过程:vlan隔离.

hb2k 发表于 2005-2-17 19:40:23

大家出发点不同,手段在网络设备层次上采用的不同有不同的解决办法.

hb2k 发表于 2005-2-17 19:45:35

3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.

boylei767 发表于 2005-2-18 15:58:10

QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.
ros上绑定mac不可以解决arp欺骗的问题,我已经做过多次试验。。。。我的问题是,只要核心交换机上支持IPmac绑定就可以防范arp欺骗么??(最终端的交换机是普通交换机)

jack_i5 发表于 2005-2-19 00:43:38

QUOTE (boylei767 @ Feb 18 2005, 03:58 PM)


QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.
ros上绑定mac不可以解决arp欺骗的问题,我已经做过多次试验。。。。我的问题是,只要核心交换机上支持IPmac绑定就可以防范arp欺骗么??(最终端的交换机是普通交换机)
我做的怎么就可以呢?把你的步骤贴出来

sblive 发表于 2005-2-19 14:05:05

QUOTE (jack_i5 @ Feb 19 2005, 12:43 AM)


QUOTE (boylei767 @ Feb 18 2005, 03:58 PM)


QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1?arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.
ros上绑定mac不可以解决arp欺骗的问题,我已经做过多次试验。。。。我的问题是,只要核心交换机上支持IPmac绑定就可以防范arp欺骗么??(最终端的交换机是普通交换机)
我做的怎么就可以呢?把你的步骤贴出来
ROS的绑定的确不能阻拦欺骗。路由上绑定IP和MAC基本上是无用的方法的。只能起到允许绑定关系的IP上网。

boylei767 发表于 2005-2-19 15:59:29

QUOTE (jack_i5 @ Feb 19 2005, 12:43 AM)


QUOTE (boylei767 @ Feb 18 2005, 03:58 PM)


QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1?arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.
ros上绑定mac不可以解决arp欺骗的问题,我已经做过多次试验。。。。我的问题是,只要核心交换机上支持IPmac绑定就可以防范arp欺骗么??(最终端的交换机是普通交换机)
我做的怎么就可以呢?把你的步骤贴出来
你用过arpkiller么??试试你就知道了。。。。。。

hb2k 发表于 2005-2-19 22:28:23

要不你就什么也不用作了。这样x.x.x.1 arp无法被欺骗,如果换作win2k系统的话可能相当与ip-mac绑定。你再看看。反正你也无法在网吧实现单机独立vlan,你局域网游戏就挂了。干脆用arpkiller扫,扫到就揪网线。

hb2k 发表于 2005-2-19 22:35:53

QUOTE (boylei767 @ Feb 18 2005, 03:58 PM)


QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.
ros上绑定mac不可以解决arp欺骗的问题,我已经做过多次试验。。。。我的问题是,只要核心交换机上支持IPmac绑定就可以防范arp欺骗么??(最终端的交换机是普通交换机)
3层上例如routeros绑定mac可以了.就是那个relay-only可以,我只是指ros这台3层设备不会被伪造的ARP应答影响而更新本地的ARP缓存。

qqqqfcu 发表于 2005-2-19 23:11:44

偶是新来的,问个问题啊!呵呵,我只想绑定路由上的三个网卡地址.只要路由器不挂掉,客户机嘛,查出来慢慢收拾不就成了,不知我这个想法对不对.如果是对的,怎么实现路由器上的两个外网网卡和一个内网网卡的MAC地址绑定.

hb2k 发表于 2005-2-20 01:43:02

一但ros的relay-only生效,就是当ip地址192.168.0.x与绑定的mac地址nnnnnnnnnnnn同时对应ip-arp中的静态记录而且完全相符时,才允许网卡mac地址nnnnnnnnnnnn而且ip地址为192.168.0.x的主机与其的数据通信。否则,再见!(drop?reject?)

boylei767 发表于 2005-2-20 14:19:57

QUOTE (hb2k @ Feb 20 2005, 01:43 AM)
一但ros的relay-only生效,就是当ip地址192.168.0.x与绑定的mac地址nnnnnnnnnnnn同时对应ip-arp中的静态记录而且完全相符时,才允许网卡mac地址nnnnnnnnnnnn而且ip地址为192.168.0.x的主机与其的数据通信。否则,再见!(drop?reject?)   
你还没明白呢。。。他欺骗的不是你的ros路由,他欺骗的是交换机,就是所有其他的电脑认为网关已经变了。。。ros绑定能防范IP冲突,但是不能防范arp欺骗,因为,他的欺骗包会发送到所有的电脑,而不仅仅是你的ros路由。。。。

daobiao 发表于 2005-2-20 19:28:58

内网没有这个病毒   是不是就把外网的网卡绑定就可以了?   网卡1:192.168.1.1网卡218.200.128.x不接网线在routerOs那台机器上都能ping通,只接外网线就ping不通192.168.1.1为什么windows就不怕泥?
页: [1] 2
查看完整版本: 问了N多人都不知道!(arp欺骗)