PPPOE的方法能奏效吗

ssffzz1

刚才看到了关于用PPPOE来防止ARP攻击的办法，就是把网关做成一个PPPOE服务器，内网的机器作为PPPOE客户端，来拨号上网，说这种办法可防止ARP攻击。不过为个人认为应该不可以，因为PPPOE也是封装到802.3帧当中去的，如果MAC改了，那不还是不能和网关通讯吗？，不知道我个人理解的对不对，欢迎各位哥哥指教。

tassel

PPPOE服务器要验证客户端的MAC地址，即：将客户端的MAC地址与服务器端存储的MAC地址比较，一致了才放行。所以客户端MAC改了根本就无法拨号

ssffzz1

我是想如果PPPOE已经建立连接，那么在传输过程中，如果出现了ARP病毒，根据ARP缓存的策略，服务端或客户端的MAC会发生变化，那么这是PPPOE的链路还能维持连接吗。即是否受ARP病毒影响。

tayuly

本网吧已经用了三个月，经查网内个别机器有ARP病毒，但从来都没有因为ARP掉过线，我想效果还是不错的

zooyo

是能解决ARP问题，我自己没试过。

caozjingkof

我也试了一个月，可以解决ARP问题，

platinum

楼上两位的拓扑结构是什么样的？

parphy

我觉得，关于PPPOE防ARP这样理解就变简单了，象VPN一样，PPPOE拨通后，在服务器端相当于单独虚拟了一个接口，仅此而已
没能饶过这个弯，可能是你对LINUX系统比较熟悉，但对设备不是太熟的原因

[ 本帖最后由 parphy 于 2006-11-22 11:40 编辑 ]

platinum

原帖由 parphy 于 2006-11-22 11:38 发表
我觉得，关于PPPOE防ARP这样理解就变简单了，象VPN一样，PPPOE拨通后，在服务器端相当于单独虚拟了一个接口，仅此而已
没能饶过这个弯，可能是你对LINUX系统比较熟悉，但对设备不是太熟的原因

当你开始拨号的时候，握手过程完全是 L2 的，PPPoE 是 PPP over Ethernet，与 VPN 完全不同的两个概念
若大家都是在同一个二层网络里，ARP 广播是任何人都可以收到的，无论你是否进行了 PPPoE 拨号
但具体是否可以阻止 ARP 攻击还需要对 ARP 协议更加了解以及抓包分析才可以下定论

ssffzz1

我决定,亲自试一下吧.不过我没有哪个ARP攻击程序.总之我尽力实验一下.毕竟理论不等于实践吗.

专卖精品

原帖由 ssffzz1 于 2006-11-22 13:09 发表
我决定,亲自试一下吧.不过我没有哪个ARP攻击程序.总之我尽力实验一下.毕竟理论不等于实践吗.

支持你！可惜我也没有ARP攻击软件


我做的客户里面都是用PPPOE的，没有出现ARP攻击的情况

tassel

1、在第二层传输中，双方以太网帧的目的地址和源地址均要确定下来，中途改变会影响通信，但是在PPPOE的虚拟通道中只会影响你自己的客户端和网关的通信。
2、ARP是要在PPPOE虚拟通道建立以后才建立的。

所以，客户端IP-MAC地址的任何改变只会影响你自己。

专卖精品

ARP攻击不会改变自己的IP和MAC吧，他仅仅是欺骗别的工作站，让别的工作站的网关IP和MAC对应到自己这里来吧！不然他欺骗的意义就不大了，除非纯粹就是想攻击网络瘫痪！

ljc_168

我觉得是可以防ARP病毒的,就算个别电脑中了ARP病毒也不会影响到整个网络,只会影响这台机!

parphy

原帖由 platinum 于 2006-11-22 12:40 发表

当你开始拨号的时候，握手过程完全是 L2 的，PPPoE 是 PPP over Ethernet，与 VPN 完全不同的两个概念
若大家都是在同一个二层网络里，ARP 广播是任何人都可以收到的，无论你是否进行了 PPPoE 拨号
但具体是 ...

1、
看来有点误会，PPPOE与 VPN 是完全不同的两个概念，这点我当然清楚，但不能只看不同，而不看共性，我说的就是共性问题，无论是终端还是接入设备上，PPPOE都会单独虚拟一个接口
这一点是为了帮助理解，如果不能理解就算了

2、
//若大家都是在同一个二层网络里，ARP 广播是任何人都可以收到的，无论你是否进行了 PPPoE 拨号
你的这个理解是错误的（TCP/IP的基础知识不够扎实），ARP是对本网广播才有效的，也就是说192.168.0.x/24的主机是不会被一个声称192.168.1.x/24的ARP所欺骗的，
（因为不同网段的IP宣称是不会被写入到ARP list或cache里的，如果真的可以写入，那就根本不需要路由器了）不信你自己可以试验或查资料——一定收到并不代表一定被骗，被骗需要特定的条件！


3、
如果用了PPPOE还会被欺骗，一般在极端情况下才会出现，如你的网卡设的IP正好与PPPOE得到的IP在同一网段！

4、PPPOE防ARP欺骗的原理如下：
假设被欺骗的机器上只有一个interface，如果PPPOE拨号成功，那就总共只有2个对外接口，外部欺骗者只能通过这两个接口进行欺骗，
先看PPPOE接口，由于，被骗者并没有与欺骗者建立PPPOE连接，因此，除非欺骗者除非模拟了PPPOE的直连才能进行进一步的ARP欺骗（这个难度要比ARP欺骗本身大得多了不止100倍）
再看
再看普通网卡，欺骗者可以轻易欺骗与它直连的网卡，但无法知道PPPOE所在的那块网卡绑定的IP，因此最多只能影响内部局域网IP部分的通讯，而对其他通讯不能造成影响，
比如基于IP的帝国时代可能掉线，而对基于IPX的红警没有影响，对PPPOE的上网也没有影响