|
|
发表于 2005-2-28 18:34:21
|
显示全部楼层
|
今天做了一个测试环境,用传奇网吧杀手做攻击源。所有机器接在一台华为3026上。抓包分析攻击源的攻击行为,全是broadcast所有探测到的地址ARP请求,硬件地址为000000000000,IP地址为探测到的机器地址。这个是正常ARP的请求,只不过攻击源发的速度非常快,模拟了网关的行为(比网关发的快的多)在华为交换机上做arp sta IP MAC无效,该命令应该只对网管IP地址生效。在端口下做静态MAC,然后将MAC Learning设置为disable,也无法防止攻击,原因是攻击行为是广播ARP请求,无法禁止,该命令只能限制在该端口下接第二台主机。正常客户机如果是XP,做arp -s gatewayip gatewaymac,可以不受攻击影响,但如果攻击源突然断线,由于网关也受到了欺骗,所以还是会断,只有在网关上也做客户机的静态捆绑才可以不出问题,比如出口代理服务器用windows2003双网卡做共享。正常客户机如果是windows2000,做静态ARP绑定,依然会被刷新,利用arp -a可以看到网关对应的MAC变成了攻击源的MAC,而且后面还加了个static,微软真晕!对于ARP表,W2K系统是通过内建的SNMP来进行管理的,不管你的SNMP服务是否开启。看ARP的汇编代码,才发现这个秘密。ARP -S命令也只是根据SNMP对应的OID接点的ARP表规范的ARP类型由3(动态)修改成4(静态),但是低层的TCP/IP协议栈在收到ARP包以后修改SNMP对应的ARP表,根本就没有检查其类型,这也是ARP -S命令无效的原因。”windows98和win2000是一致的。综上所述如果有米,升级二层交换机,例如华为2403H,全程做port vlan;不过这样的话局域网游戏将不能玩,可以考虑有一个区的交换机上不做捆绑。。专门让人玩内网游戏。如果非常有米,搞台三层交换机,上面绑所有客户机的MAC,下面分几个子网做路由,客户机装XP,绑网关MAC。如果没米,先把客户机做成XP,然后利用网管软件将网关的静态ARP捆绑送到每台客户机,机器启动时自动生效,禁止用户使用DOS(CMD),装上诺顿防火墙,代理服务器用xp或win2003做双网卡共享。如果你用软路由做代理,可以在软路由上设置客户机的静态MAC,但要保证该软路由的静态ARP不会象2000一样被刷新。如果不愿意让客户机变身XP或者2003,那就天天看着网吧,准备一根棍子,谁不听话揍谁~ |
|
楼主: boylei767
|Archiver|手机版|小黑屋|软路由
( 渝ICP备15001194号-1|
渝公网安备 50011602500124号 )
IP卡
狗仔卡
显身卡
发表于 2005-2-28 18:46:42
