问了N多人都不知道！（arp欺骗）

boylei767

问了N多人都不知道！（arp欺骗）什么型号的核心交换机（问了N多人了，Cisco，华为，Dlink，Tplink，联想的工程师，没有一个可以给出肯定的回答，其实就是不知道）可以防范arp欺骗？？？？？？？？？？只要核心交换机上支持IPmac绑定就可以防范arp欺骗么？？这个问题，我几乎问遍了所有的公司的工程师，都没人回答出来。。。80％的人还不知道arp欺骗是什么！！就是这几天我问的。。。。估计他们以后就知道什么是arp欺骗了。。。。

hb2k

(转)ARP欺骗的原理如下：　　假设这样一个网络，一个Hub接了3台机器　　HostA HostB HostC 其中　　A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA　　B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB　　C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC　　正常情况下 C:\arp -a　　Interface: 192.168.10.1 on Interface 0x1000003　　Internet Address Physical Address Type　　192.168.10.3 CC-CC-CC-CC-CC-CC dynamic　　现在假设HostB开始了罪恶的ARP欺骗：　　B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址，没有和犯罪分子B相关的证据，哈哈，这样犯罪分子岂不乐死了。　　现在A机器的ARP缓存更新了：　　C:\>arp -a　　Interface: 192.168.10.1 on Interface 0x1000003　　Internet Address Physical Address Type　　192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

hb2k

...当A接收到B伪造的ARP应答......阻断这个过程:vlan隔离.

hb2k

大家出发点不同,手段在网络设备层次上采用的不同有不同的解决办法.

hb2k

3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1  arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.

boylei767

QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1  arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.  
  ros上绑定mac不可以解决arp欺骗的问题，我已经做过多次试验。。。。我的问题是，只要核心交换机上支持IPmac绑定就可以防范arp欺骗么？？（最终端的交换机是普通交换机）

jack_i5

QUOTE (boylei767 @ Feb 18 2005, 03:58 PM)


QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1  arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.
ros上绑定mac不可以解决arp欺骗的问题，我已经做过多次试验。。。。我的问题是，只要核心交换机上支持IPmac绑定就可以防范arp欺骗么？？（最终端的交换机是普通交换机）  
  我做的怎么就可以呢？把你的步骤贴出来

sblive

QUOTE (jack_i5 @ Feb 19 2005, 12:43 AM)


QUOTE (boylei767 @ Feb 18 2005, 03:58 PM)


QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1?arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.
ros上绑定mac不可以解决arp欺骗的问题，我已经做过多次试验。。。。我的问题是，只要核心交换机上支持IPmac绑定就可以防范arp欺骗么？？（最终端的交换机是普通交换机）
我做的怎么就可以呢？把你的步骤贴出来  
  ROS的绑定的确不能阻拦欺骗。路由上绑定IP和MAC基本上是无用的方法的。只能起到允许绑定关系的IP上网。

boylei767

QUOTE (jack_i5 @ Feb 19 2005, 12:43 AM)


QUOTE (boylei767 @ Feb 18 2005, 03:58 PM)


QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1?arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.
ros上绑定mac不可以解决arp欺骗的问题，我已经做过多次试验。。。。我的问题是，只要核心交换机上支持IPmac绑定就可以防范arp欺骗么？？（最终端的交换机是普通交换机）
我做的怎么就可以呢？把你的步骤贴出来  
  你用过arpkiller么？？试试你就知道了。。。。。。

hb2k

要不你就什么也不用作了。这样x.x.x.1 arp无法被欺骗，如果换作win2k系统的话可能相当与ip-mac绑定。你再看看。反正你也无法在网吧实现单机独立vlan,你局域网游戏就挂了。干脆用arpkiller扫，扫到就揪网线。

hb2k

QUOTE (boylei767 @ Feb 18 2005, 03:58 PM)


QUOTE (hb2k @ Feb 17 2005, 07:45 PM)
3层上例如routeros绑定mac可以了.就是那个relay-only.这样x.x.x.1  arp无法被欺骗,+上面vlan隔离,下面所带计算机地址解析不会出现错误,这样可以基本杜绝arp欺骗类恶意程序.
ros上绑定mac不可以解决arp欺骗的问题，我已经做过多次试验。。。。我的问题是，只要核心交换机上支持IPmac绑定就可以防范arp欺骗么？？（最终端的交换机是普通交换机）  
  3层上例如routeros绑定mac可以了.就是那个relay-only可以，我只是指ros这台3层设备不会被伪造的ARP应答影响而更新本地的ARP缓存。

qqqqfcu

偶是新来的,问个问题啊!呵呵,我只想绑定路由上的三个网卡地址.只要路由器不挂掉,客户机嘛,查出来慢慢收拾不就成了,不知我这个想法对不对.如果是对的,怎么实现路由器上的两个外网网卡和一个内网网卡的MAC地址绑定.

hb2k

一但ros的relay-only生效，就是当ip地址192.168.0.x与绑定的mac地址nnnnnnnnnnnn同时对应ip-arp中的静态记录而且完全相符时，才允许网卡mac地址nnnnnnnnnnnn而且ip地址为192.168.0.x的主机与其的数据通信。否则，再见！（drop?reject?）

boylei767

QUOTE (hb2k @ Feb 20 2005, 01:43 AM)
一但ros的relay-only生效，就是当ip地址192.168.0.x与绑定的mac地址nnnnnnnnnnnn同时对应ip-arp中的静态记录而且完全相符时，才允许网卡mac地址nnnnnnnnnnnn而且ip地址为192.168.0.x的主机与其的数据通信。否则，再见！（drop?reject?）   
  你还没明白呢。。。他欺骗的不是你的ros路由，他欺骗的是交换机，就是所有其他的电脑认为网关已经变了。。。ros绑定能防范IP冲突，但是不能防范arp欺骗，因为，他的欺骗包会发送到所有的电脑，而不仅仅是你的ros路由。。。。

daobiao

内网没有这个病毒   是不是就把外网的网卡绑定就可以了？     网卡1:192.168.1.1网卡218.200.128.x不接网线在routerOs那台机器上都能ping通，只接外网线就ping不通192.168.1.1为什么windows就不怕泥？