找回密码
 注册

QQ登录

只需一步,快速开始

搜索
楼主: boylei767

[其它] 问了N多人都不知道!(arp欺骗)

[复制链接]
发表于 2005-2-20 23:07:14 | 显示全部楼层
QUOTE (boylei767 @ Feb 20 2005, 02:19 PM)


QUOTE (hb2k @ Feb 20 2005, 01:43 AM)
一但ros的relay-only生效,就是当ip地址192.168.0.x与绑定的mac地址nnnnnnnnnnnn同时对应ip-arp中的静态记录而且完全相符时,才允许网卡mac地址nnnnnnnnnnnn而且ip地址为192.168.0.x的主机与其的数据通信。否则,再见!(drop?reject?)  
你还没明白呢。。。他欺骗的不是你的ros路由,他欺骗的是交换机,就是所有其他的电脑认为网关已经变了。。。ros绑定能防范IP冲突,但是不能防范arp欺骗,因为,他的欺骗包会发送到所有的电脑,而不仅仅是你的ros路由。。。。  
    我就想绑定三个网卡的IP 地址,谢谢,教我一下.内网192.168.0.254/外网202.99.166.*/外网219.148.76.*
routeros
回复

使用道具 举报

发表于 2005-2-22 17:29:27 | 显示全部楼层
QUOTE (boylei767 @ Feb 20 2005, 02:19 PM)


QUOTE (hb2k @ Feb 20 2005, 01:43 AM)
一但ros的relay-only生效,就是当ip地址192.168.0.x与绑定的mac地址nnnnnnnnnnnn同时对应ip-arp中的静态记录而且完全相符时,才允许网卡mac地址nnnnnnnnnnnn而且ip地址为192.168.0.x的主机与其的数据通信。否则,再见!(drop?reject?)  
你还没明白呢。。。他欺骗的不是你的ros路由,他欺骗的是交换机,就是所有其他的电脑认为网关已经变了。。。ros绑定能防范IP冲突,但是不能防范arp欺骗,因为,他的欺骗包会发送到所有的电脑,而不仅仅是你的ros路由。。。。  
  ros保证不被欺骗,下面主机不被欺骗----第二个回复就说明白了:vlan隔离。arp欺骗还能欺骗什么呢?
routeros
回复

使用道具 举报

发表于 2005-2-22 17:56:40 | 显示全部楼层
QUOTE
这个问题,我几乎问遍了所有的公司的工程师,都没人回答出来。。。80%的人还不知道arp欺骗是什么!!
他们是怎么混上工程师的?!
routeros
回复

使用道具 举报

发表于 2005-2-28 16:29:10 | 显示全部楼层
早在半年前我就发过这样的贴子。当时的情况也都讲过了。到现在我也没好办法防范。当时我是用网络执法官抓住的攻击者。后来研究了多种方法不果。不过有一种方法可以。就是终端机全部做成2003。然后进行ARP绑定。让他的软件无法生效。属于主动防范方法。其它的都算是被动防范。由于本网吧的机器内存只有128。并且老板不肯再投入。所以无法将终端做成2003。
routeros
回复

使用道具 举报

发表于 2005-2-28 17:55:14 | 显示全部楼层
我一个朋友做的东西。据说可以做到检测arp欺骗。不过我没试过。http://kano.cc163.net/wmps/wmpsalarm/pcheck.php
routeros
回复

使用道具 举报

发表于 2005-2-28 18:34:21 | 显示全部楼层
今天做了一个测试环境,用传奇网吧杀手做攻击源。所有机器接在一台华为3026上。抓包分析攻击源的攻击行为,全是broadcast所有探测到的地址ARP请求,硬件地址为000000000000,IP地址为探测到的机器地址。这个是正常ARP的请求,只不过攻击源发的速度非常快,模拟了网关的行为(比网关发的快的多)在华为交换机上做arp sta IP MAC无效,该命令应该只对网管IP地址生效。在端口下做静态MAC,然后将MAC Learning设置为disable,也无法防止攻击,原因是攻击行为是广播ARP请求,无法禁止,该命令只能限制在该端口下接第二台主机。正常客户机如果是XP,做arp -s gatewayip gatewaymac,可以不受攻击影响,但如果攻击源突然断线,由于网关也受到了欺骗,所以还是会断,只有在网关上也做客户机的静态捆绑才可以不出问题,比如出口代理服务器用windows2003双网卡做共享。正常客户机如果是windows2000,做静态ARP绑定,依然会被刷新,利用arp -a可以看到网关对应的MAC变成了攻击源的MAC,而且后面还加了个static,微软真晕!对于ARP表,W2K系统是通过内建的SNMP来进行管理的,不管你的SNMP服务是否开启。看ARP的汇编代码,才发现这个秘密。ARP -S命令也只是根据SNMP对应的OID接点的ARP表规范的ARP类型由3(动态)修改成4(静态),但是低层的TCP/IP协议栈在收到ARP包以后修改SNMP对应的ARP表,根本就没有检查其类型,这也是ARP -S命令无效的原因。”windows98和win2000是一致的。综上所述如果有米,升级二层交换机,例如华为2403H,全程做port vlan;不过这样的话局域网游戏将不能玩,可以考虑有一个区的交换机上不做捆绑。。专门让人玩内网游戏。如果非常有米,搞台三层交换机,上面绑所有客户机的MAC,下面分几个子网做路由,客户机装XP,绑网关MAC。如果没米,先把客户机做成XP,然后利用网管软件将网关的静态ARP捆绑送到每台客户机,机器启动时自动生效,禁止用户使用DOS(CMD),装上诺顿防火墙,代理服务器用xp或win2003做双网卡共享。如果你用软路由做代理,可以在软路由上设置客户机的静态MAC,但要保证该软路由的静态ARP不会象2000一样被刷新。如果不愿意让客户机变身XP或者2003,那就天天看着网吧,准备一根棍子,谁不听话揍谁~
routeros
回复

使用道具 举报

发表于 2005-2-28 18:46:42 | 显示全部楼层
QUOTE (icepoint @ Feb 28 2005, 06:34 PM)
如果不愿意让客户机变身XP或者2003,那就天天看着网吧,准备一根棍子,谁不听话揍谁~
routeros
回复

使用道具 举报

发表于 2005-3-1 00:36:32 | 显示全部楼层
应该ARP欺骗现在没有一个好的设备和方法来解决。网路岗这个软件卖得很火,应用也很广,其实它的原理中就利用了ARP欺骗来禁止某个电脑上网的。
routeros
回复

使用道具 举报

 楼主| 发表于 2005-3-12 20:40:31 | 显示全部楼层
QUOTE (icepoint @ Feb 28 2005, 06:34 PM)
综上所述如果有米,升级二层交换机,例如华为2403H,全程做port vlan;不过这样的话局域网游戏将不能玩,可以考虑有一个区的交换机上不做捆绑。。专门让人玩内网游戏。如果非常有米,搞台三层交换机,上面绑所有客户机的MAC,下面分几个子网做路由,客户机装XP,绑网关MAC。如果没米,先把客户机做成XP,然后利用网管软件将网关的静态ARP捆绑送到每台客户机,机器启动时自动生效,禁止用户使用DOS(CMD),装上诺顿防火墙,代理服务器用xp或win2003做双网卡共享。如果你用软路由做代理,可以在软路由上设置客户机的静态MAC,但要保证该软路由的静态ARP不会象2000一样被刷新。如果不愿意让客户机变身XP或者2003,那就天天看着网吧,准备一根棍子,谁不听话揍谁~  
  这位仁兄才是真正提出解决方案的人呀。。。。好同志,非常感谢你帮我解决了困惑我好久的问题。。。也谢谢做的测试工作。。。。向你致敬!!!呵呵。。。。
routeros
回复

使用道具 举报

发表于 2005-3-12 22:56:14 | 显示全部楼层
你想最根本的解决你的问题的说你把你网络中的交换机换成三层交换机(包括最终端的)一个二层也不要用,是可以的!!否则只要你的网络中有一个二层交换机而机器上插了二台以上机器的话........
routeros
回复

使用道具 举报

发表于 2005-3-12 22:57:07 | 显示全部楼层
QUOTE (hb2k @ Feb 22 2005, 05:29 PM)


QUOTE (boylei767 @ Feb 20 2005, 02:19 PM)


QUOTE (hb2k @ Feb 20 2005, 01:43 AM)
一但ros的relay-only生效,就是当ip地址192.168.0.x与绑定的mac地址nnnnnnnnnnnn同时对应ip-arp中的静态记录而且完全相符时,才允许网卡mac地址nnnnnnnnnnnn而且ip地址为192.168.0.x的主机与其的数据通信。否则,再见!(drop?reject?)  
你还没明白呢。。。他欺骗的不是你的ros路由,他欺骗的是交换机,就是所有其他的电脑认为网关已经变了。。。ros绑定能防范IP冲突,但是不能防范arp欺骗,因为,他的欺骗包会发送到所有的电脑,而不仅仅是你的ros路由。。。。
ros保证不被欺骗,下面主机不被欺骗----第二个回复就说明白了:vlan隔离。arp欺骗还能欺骗什么呢?  
  一台机器化一个vlan??
routeros
回复

使用道具 举报

发表于 2005-3-14 04:01:47 | 显示全部楼层
QUOTE (hb2k @ Feb 22 2005, 05:29 PM)


QUOTE (boylei767 @ Feb 20 2005, 02:19 PM)


QUOTE (hb2k @ Feb 20 2005, 01:43 AM)
一但ros的relay-only生效,就是当ip地址192.168.0.x与绑定的mac地址nnnnnnnnnnnn同时对应ip-arp中的静态记录而且完全相符时,才允许网卡mac地址nnnnnnnnnnnn而且ip地址为192.168.0.x的主机与其的数据通信。否则,再见!(drop?reject?)  
你还没明白呢。。。他欺骗的不是你的ros路由,他欺骗的是交换机,就是所有其他的电脑认为网关已经变了。。。ros绑定能防范IP冲突,但是不能防范arp欺骗,因为,他的欺骗包会发送到所有的电脑,而不仅仅是你的ros路由。。。。
ros保证不被欺骗,下面主机不被欺骗----第二个回复就说明白了:vlan隔离。arp欺骗还能欺骗什么呢?  
  他的意思是,ROS没被欺骗,被VLAN隔离的机器也没被欺骗。。。但是,用来划VLAN的这台交换机被欺骗!所以他想找台能绑定IP&MAC的交换机吧。。。如果换三层交换机,在一般的网吧不是很现实。其实还有一个办法,就是上面朋友说的主动去防范。记得天下网盟有位高人发过个软件,通过修改系统以达到不能安装wincap等适合ARP欺骗程序运行环镜的目的。这个应该算是比较容易实现而且成本低的办法吧。
routeros
回复

使用道具 举报

发表于 2005-3-14 10:51:11 | 显示全部楼层
2层交换机能被欺骗?交换机呵呵。
routeros
回复

使用道具 举报

发表于 2005-3-19 16:02:37 | 显示全部楼层
能做MAC和port绑定的交换机就不会被ARP欺骗了,大家要搞清楚2层交换和3层交换的区别。3层可以做IP-MAC-Port绑定,即唯一的身份识别,普通的网管型交换机带的MAC和端口绑定只能从物理层面做到身份唯一,而ARP欺骗是属于物理层的欺骗。
routeros
回复

使用道具 举报

发表于 2005-3-21 03:37:23 | 显示全部楼层
那有没有人说说,arp欺骗是怎么实现的?具体方法步骤是什么,然后再想对策
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-23 23:24 , Processed in 0.059058 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表