求救！！关于arp欺骗与wsgtrsys老大的sendarp

EMP

iptables -t nat -A mac-nat -i $IF_LOCAL -s 192.168.0.1 --match mac --mac-source 00:00:0E:D8:63:DD -j ACCEPT这种绑定方法可以解决不了arp攻击。。。因为CL路有里面的mac表被广播改变后这个规则只是检测mac列表里面的对应关系是否和规则所写一样。  如果一致才通过。那就是说。路由被arp欺骗了。他的mac列表是错的。  上面的绑定规则只是检测绑定关系对错。。。。而路由也不会根据规则广播。他只会检测列表对应规则就通行。不对应就丢弃。除非能做到。cl不按照mac列表广播。  而按照规则广播。。所以客户机还是会掉线。。。 除非所有客户机重新广播。。  或者把真正正确的mac列表固化成不能修改（但不知道怎么做）上面写的只是个人见解。。。。  如果有错。 请指出

EMP

QUOTE (cloudsea @ Feb 19 2005, 12:01 AM)
不错，支持！讨论的很有深度！以我个人理解，基本上，目前流行的传奇盗号木马，普通方法，都是档不住的。刚才EMP强人，解释的很清楚，MAC欺骗是针对交换机，而普通的MAC绑定，是针对网关系统就算在网关绑定了所有的客户机的MAC与IP地址的对应关系也不能排除MAC欺骗的形成，因为交换机的MAC地址池刷新之后，盗号木马截获数据的可能已经存在，虽然在网关处绑定了MAC，不会导至大规模的掉线情况但，盗号仍然存在！该木马流行期间，试过CL，和SM，最后，用SM+arp绑定， 稍微缓解了集体掉线的情况。CL上去， 2分钟，OVER，ping网关不通，P3 800 /128M/软盘型 arp-send/在SM上，用tcudump arp抓包，找到疯狂发arp应答的源，去杀毒~ （卡巴基斯)就这样，基本上稳定了网吧arp欺骗的危害~以上，跟据实际情况，整理，如有错误，高手指正！ 谢~  
  其实cl的arp包已经做得不错了。。。  可能你没用过。。。我们在100台机的网吧测试过。。2000xp98改ip和网关一样。。    只会导致该台机不能上网。 在其他机器ping外网。完全没丢包，经多次测试，没有一个丢包现象。。   也没有人反映游戏定机。。。如果没有能支持ip和mac绑定的交换机。。  那么出现故障后。迅速找出问题所在，这才是最必要的。

jk0wg

QUOTE (EMP @ Feb 19 2005, 12:12 AM)


QUOTE (cloudsea @ Feb 19 2005, 12:01 AM)
不错，支持！讨论的很有深度！以我个人理解，基本上，目前流行的传奇盗号木马，普通方法，都是档不住的。刚才EMP强人，解释的很清楚，MAC欺骗是针对交换机，而普通的MAC绑定，是针对网关系统就算在网关绑定了所有的客户机的MAC与IP地址的对应关系也不能排除MAC欺骗的形成，因为交换机的MAC地址池刷新之后，盗号木马截获数据的可能已经存在，虽然在网关处绑定了MAC，不会导至大规模的掉线情况但，盗号仍然存在！该木马流行期间，试过CL，和SM，最后，用SM+arp绑定， 稍微缓解了集体掉线的情况。CL上去， 2分钟，OVER，ping网关不通，P3 800 /128M/软盘型 arp-send/在SM上，用tcudump arp抓包，找到疯狂发arp应答的源，去杀毒~ （卡巴基斯)就这样，基本上稳定了网吧arp欺骗的危害~以上，跟据实际情况，整理，如有错误，高手指正！ 谢~
其实cl的arp包已经做得不错了。。。  可能你没用过。。。我们在100台机的网吧测试过。。2000xp98改ip和网关一样。。    只会导致该台机不能上网。 在其他机器ping外网。完全没丢包，经多次测试，没有一个丢包现象。。   也没有人反映游戏定机。。。如果没有能支持ip和mac绑定的交换机。。  那么出现故障后。迅速找出问题所在，这才是最必要的。  
  要是在某台机器上对内网的所有机器进行ARP欺骗呢??

EMP

ARP欺骗方式很多。。。  不明白你要问什么。。。

sblive

用传奇木马或ARPKILLER进行欺骗，ROS和CL要掉网的。CL加了SENDARP也没有用。

EMP

那，这种软件 不只欺骗可以机。还欺骗了路由。。 还有可能欺骗交换机。。sean_arp只是能恢复 欺骗客户机的情况。 使用ip绑定MAC“有可能解决欺骗路由”但是欺骗交换机。只能更换更好的交换机才能杜绝。

boylei767

QUOTE (EMP @ Feb 19 2005, 03:24 PM)
那，这种软件 不只欺骗可以机。还欺骗了路由。。 还有可能欺骗交换机。。sean_arp只是能恢复 欺骗客户机的情况。 使用ip绑定MAC“有可能解决欺骗路由”但是欺骗交换机。只能更换更好的交换机才能杜绝。  
  原理基本上大家都懂了，但关键是解决办法。。。。我用核心交换机做一个ipmac绑定能解决大部分机器不掉线么？？你说的是所有交换机支持ipmac端口绑定肯定可以的，但投资太大。。。。如果核心交换机能保证大部分机器不掉的话，已经可以了，但问题是能保证么？？如果可以是什么型号呢，一定要做过测试的说。。。没测试。。。。我知道理论上是可以的。。。。。我想买一台核心交换机，不知道什么型号可以防范。。。。因为没有这种交换机，所以没法测试。。。。但问交换机厂家，又都不知道可以不可以。。。。（Cisco,华为，Dlink,tpLink,联想我都问过了)没有知道的。。。

EMP

基本需要使用介入交换机才能杜绝。。因为所有绑定都是交换机端口对网卡mac和ip的的一种验证方式。。  不能在电脑接入口绑定。 那根本就没意思。。。  核心交换机作帮定意义不大。。

EMP

或者有些核心交换机可以限制端口的接入mac地址数量的。。。 你可以考虑下。。http://www.cnw.com.cn/issues/article.asp?filename=n43839.asp

EMP

或者想想，把网络用vlan划分为多个网段。使用核心交换机做。每个端口一台交换机 一个VLAN网段。随手画了个图。这只是示意图。真正连接不是这样接的现在的CL 一个CL可以带3个接入网段。利用带普通端口vlan的交换机 把每个网段画成一个VLAN.  这样每个交换机24口。那就是说 每个vlan可以23台机或者更少。 以23台计算。一台CL能带69台机。 这样可以减少影响范围。。不过是笨方法。。。vlan是最好的解决方法。。 可是vlan不适合用于网吧。。这么做成本也不高。计算一下要用的CL数目。 和一台壹千多块的交换机（带端口vlan就可以了）。。不过以后网吧维护麻烦。。 不同VLAN的电脑不能互相访问。。

mickeyz

客户机做个路由欺骗来对付ARP欺骗也不错的哦系统设个假的网关,在启动时做个批处理指定真实的网关!

jk0wg

最好的办法就是把所有和电脑相连的交换机全用二层交换机.然后绑定每台电脑的IP和MAC.  现在二层交换机的价格也不贵了..

EMP

QUOTE (jk0wg @ Feb 19 2005, 09:38 PM)
最好的办法就是把所有和电脑相连的交换机全用二层交换机.然后绑定每台电脑的IP和MAC.  现在二层交换机的价格也不贵了..  
  那是当然的。。 不过要所有接入层交换机都更换  也不是容易的事。。对网吧是一个负担

jk0wg

QUOTE (EMP @ Feb 20 2005, 12:27 AM)


QUOTE (jk0wg @ Feb 19 2005, 09:38 PM)
最好的办法就是把所有和电脑相连的交换机全用二层交换机.然后绑定每台电脑的IP和MAC.  现在二层交换机的价格也不贵了..
那是当然的。。 不过要所有接入层交换机都更换  也不是容易的事。。对网吧是一个负担  
  一个网吧有多少台接入交换机~~~~   一千左右的二层交换机凑合着使用..  如果真需要的话.应该能接受的..  60台的网吧三台交换机..    也应该能承受的...     600台的话27台左右的接入交换机.. 也应该没问题吧.....   不过我管理的三个200台的网吧都没发生ARP欺骗的问题...

jk0wg

不想投资就得靠防范.. 以下几点大家可以参考下..      1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。 　　2、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。 　　3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 　　4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 　　5、使用"proxy"代理ip的传输。 　　6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。 　　7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。 　　8、管理员定期轮询，检查主机上的ARP缓存。 　　9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢 失。