找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 17506|回复: 0

[其它] ARP欺骗技术

[复制链接]
发表于 2016-8-29 17:26:47 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
ros软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。
例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA

B用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB

那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得
A用户权限。
各位有没有好的办法阻止ARP欺骗。


**************************************************************************
使用如下方案:

ARP欺骗技术(p-mac绑定在一起来解决)

1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver

使接内网的网卡arp 使用reply-only模式
在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)
只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过
两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制
在ip/input 中把不能上网的机器全drop掉

2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)

3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,
做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac
绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域
中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。

4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了
用有网管功能的交换机如:3com cisco公司的产品
把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)

routeros
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-25 11:49 , Processed in 0.039755 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表