iptables -t nat -A mac-nat -i $IF_LOCAL -s 192.168.0.1 --match mac --mac-source 00:00:0E:D8:63:DD -j ACCEPT这种绑定方法可以解决不了arp攻击。。。因为CL路有里面的mac表被广播改变后这个规则只是检测mac列表里面的对应关系是否和规则所写一样。如果一致才通过。那就是说。路由被arp欺骗了。他的mac列表是错的。上面的绑定规则只是检测绑定关系对错。。。。而路由也不会根据规则广播。他只会检测列表对应规则就通行。不对应就丢弃。除非能做到。cl不按照mac列表广播。而按照规则广播。。所以客户机还是会掉线。。。 除非所有客户机重新广播。。或者把真正正确的mac列表固化成不能修改(但不知道怎么做)上面写的只是个人见解。。。。如果有错。 请指出
QUOTE (cloudsea @ Feb 19 2005, 12:01 AM)
不错,支持!讨论的很有深度!以我个人理解,基本上,目前流行的传奇盗号木马,普通方法,都是档不住的。刚才EMP强人,解释的很清楚,MAC欺骗是针对交换机,而普通的MAC绑定,是针对网关系统就算在网关绑定了所有的客户机的MAC与IP地址的对应关系也不能排除MAC欺骗的形成,因为交换机的MAC地址池刷新之后,盗号木马截获数据的可能已经存在,虽然在网关处绑定了MAC,不会导至大规模的掉线情况但,盗号仍然存在!该木马流行期间,试过CL,和SM,最后,用SM+arp绑定, 稍微缓解了集体掉线的情况。CL上去, 2分钟,OVER,ping网关不通,P3 800 /128M/软盘型 arp-send/在SM上,用tcudump arp抓包,找到疯狂发arp应答的源,去杀毒~ (卡巴基斯)就这样,基本上稳定了网吧arp欺骗的危害~以上,跟据实际情况,整理,如有错误,高手指正! 谢~
其实cl的arp包已经做得不错了。。。可能你没用过。。。我们在100台机的网吧测试过。。2000xp98改ip和网关一样。。 只会导致该台机不能上网。 在其他机器ping外网。完全没丢包,经多次测试,没有一个丢包现象。。 也没有人反映游戏定机。。。如果没有能支持ip和mac绑定的交换机。。那么出现故障后。迅速找出问题所在,这才是最必要的。
QUOTE (EMP @ Feb 19 2005, 12:12 AM)
QUOTE (cloudsea @ Feb 19 2005, 12:01 AM)
不错,支持!讨论的很有深度!以我个人理解,基本上,目前流行的传奇盗号木马,普通方法,都是档不住的。刚才EMP强人,解释的很清楚,MAC欺骗是针对交换机,而普通的MAC绑定,是针对网关系统就算在网关绑定了所有的客户机的MAC与IP地址的对应关系也不能排除MAC欺骗的形成,因为交换机的MAC地址池刷新之后,盗号木马截获数据的可能已经存在,虽然在网关处绑定了MAC,不会导至大规模的掉线情况但,盗号仍然存在!该木马流行期间,试过CL,和SM,最后,用SM+arp绑定, 稍微缓解了集体掉线的情况。CL上去, 2分钟,OVER,ping网关不通,P3 800 /128M/软盘型 arp-send/在SM上,用tcudump arp抓包,找到疯狂发arp应答的源,去杀毒~ (卡巴基斯)就这样,基本上稳定了网吧arp欺骗的危害~以上,跟据实际情况,整理,如有错误,高手指正! 谢~
其实cl的arp包已经做得不错了。。。可能你没用过。。。我们在100台机的网吧测试过。。2000xp98改ip和网关一样。。 只会导致该台机不能上网。 在其他机器ping外网。完全没丢包,经多次测试,没有一个丢包现象。。 也没有人反映游戏定机。。。如果没有能支持ip和mac绑定的交换机。。那么出现故障后。迅速找出问题所在,这才是最必要的。
要是在某台机器上对内网的所有机器进行ARP欺骗呢??
ARP欺骗方式很多。。。不明白你要问什么。。。
用传奇木马或ARPKILLER进行欺骗,ROS和CL要掉网的。CL加了SENDARP也没有用。
那,这种软件 不只欺骗可以机。还欺骗了路由。。 还有可能欺骗交换机。。sean_arp只是能恢复 欺骗客户机的情况。 使用ip绑定MAC“有可能解决欺骗路由”但是欺骗交换机。只能更换更好的交换机才能杜绝。
QUOTE (EMP @ Feb 19 2005, 03:24 PM)
那,这种软件 不只欺骗可以机。还欺骗了路由。。 还有可能欺骗交换机。。sean_arp只是能恢复 欺骗客户机的情况。 使用ip绑定MAC“有可能解决欺骗路由”但是欺骗交换机。只能更换更好的交换机才能杜绝。
原理基本上大家都懂了,但关键是解决办法。。。。我用核心交换机做一个ipmac绑定能解决大部分机器不掉线么??你说的是所有交换机支持ipmac端口绑定肯定可以的,但投资太大。。。。如果核心交换机能保证大部分机器不掉的话,已经可以了,但问题是能保证么??如果可以是什么型号呢,一定要做过测试的说。。。没测试。。。。我知道理论上是可以的。。。。。我想买一台核心交换机,不知道什么型号可以防范。。。。因为没有这种交换机,所以没法测试。。。。但问交换机厂家,又都不知道可以不可以。。。。(Cisco,华为,Dlink,tpLink,联想我都问过了)没有知道的。。。
基本需要使用介入交换机才能杜绝。。因为所有绑定都是交换机端口对网卡mac和ip的的一种验证方式。。不能在电脑接入口绑定。 那根本就没意思。。。核心交换机作帮定意义不大。。
或者有些核心交换机可以限制端口的接入mac地址数量的。。。 你可以考虑下。。http://www.cnw.com.cn/issues/article.asp?filename=n43839.asp
或者想想,把网络用vlan划分为多个网段。使用核心交换机做。每个端口一台交换机 一个VLAN网段。随手画了个图。这只是示意图。真正连接不是这样接的现在的CL 一个CL可以带3个接入网段。利用带普通端口vlan的交换机 把每个网段画成一个VLAN.这样每个交换机24口。那就是说 每个vlan可以23台机或者更少。 以23台计算。一台CL能带69台机。 这样可以减少影响范围。。不过是笨方法。。。vlan是最好的解决方法。。 可是vlan不适合用于网吧。。这么做成本也不高。计算一下要用的CL数目。 和一台壹千多块的交换机(带端口vlan就可以了)。。不过以后网吧维护麻烦。。 不同VLAN的电脑不能互相访问。。
客户机做个路由欺骗来对付ARP欺骗也不错的哦系统设个假的网关,在启动时做个批处理指定真实的网关!
最好的办法就是把所有和电脑相连的交换机全用二层交换机.然后绑定每台电脑的IP和MAC.现在二层交换机的价格也不贵了..
QUOTE (jk0wg @ Feb 19 2005, 09:38 PM)
最好的办法就是把所有和电脑相连的交换机全用二层交换机.然后绑定每台电脑的IP和MAC.现在二层交换机的价格也不贵了..
那是当然的。。 不过要所有接入层交换机都更换也不是容易的事。。对网吧是一个负担
QUOTE (EMP @ Feb 20 2005, 12:27 AM)
QUOTE (jk0wg @ Feb 19 2005, 09:38 PM)
最好的办法就是把所有和电脑相连的交换机全用二层交换机.然后绑定每台电脑的IP和MAC.现在二层交换机的价格也不贵了..
那是当然的。。 不过要所有接入层交换机都更换也不是容易的事。。对网吧是一个负担
一个网吧有多少台接入交换机~~~~ 一千左右的二层交换机凑合着使用..如果真需要的话.应该能接受的..60台的网吧三台交换机.. 也应该能承受的... 600台的话27台左右的接入交换机.. 也应该没问题吧..... 不过我管理的三个200台的网吧都没发生ARP欺骗的问题...
不想投资就得靠防范.. 以下几点大家可以参考下.. 1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。 2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。 3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。 4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 5、使用"proxy"代理ip的传输。 6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。 7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。 8、管理员定期轮询,检查主机上的ARP缓存。 9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢 失。