[問答] Netcut防護.NAT端該做的事情?
設備:
ip分享器-Port RouterOS
希望:(假設Client端本身有防護)
a.不需要pppoe.也不需要去了解客戶mac
b.至少做到Nat端不會被詐欺...的便宜手段
最近看到:
(1)自動綁定ARP script
http://www.wretch.cc/blog/kingofsdtw/16925472
//綁客戶端,也可以順便擋其他軟體
請問版上大哥們,這樣不會綁到假mac占用ip的嗎?
如果設定5分鐘更新一次,綁到假的mac,那原來真實user就連救的機會也沒...
(2)防火牆擋掉Netcut封包 (看起來不錯用順便轉錄分享)
http://www.wretch.cc/blog/kingofsdtw/16926146
:當防火牆規則越來越多時候,明明不相干的規則,竟然會使網路停擺,
但是防火牆系統沒出現.提示錯誤(分段測試找不到錯誤規則.不知道誰drop)
(小弟剛上手亂貼大量防火牆...)
[結果回饋]2011/06/01 沒經過switch.直接接在分享器port上
(2)感謝wst2080幫忙
經過測試後證實防火牆擋這些ip沒用,"NAT"端還是會被騙.更不用說client
https://picasaweb.google.com/lh/photo/bpPOKZybYNmzmxnIhGHKug?feat=directlink
(pc1攻擊者開啟netcut圖)
https://picasaweb.google.com/lh/photo/LPc0JnghVTsBB_xBXkmP5w?feat=directlink
(IP分享器找不到pc2,只有攻擊者可以連到pc2)
*注意一點是當pc1登入pc2後可以正常上網,當pc1登出後pc2又不能上網
(3)感謝stpaul和大陸網友
static DHCP
https://picasaweb.google.com/lh/photo/D2P8JqZaleG3JjtLFNQdHg?feat=directlink
https://picasaweb.google.com/lh/photo/qYOi90paq-vL0Vj9XIpi7Q?feat=directlink
結果:
https://picasaweb.google.com/lh/photo/fJgFUb2WHsfwokV65CdwZg?feat=directlink
改善方法: 只接受DHCP發放的IP
把interface只開啟 reply-only就不會接受ARP,但是會回復請求
*並且dhcp開啟"add arp for lease"
--
載點:http://0rz.tw/3LtYr
**以下內容需推文才能觀看** 僅提供學術使用.禁止用於商業行為
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 124.8.250.251
※ 編輯: kingofsdtw 來自: 124.8.250.251 (05/31 00:29)
→
05/31 09:21, , 1F
05/31 09:21, 1F
→
05/31 09:36, , 2F
05/31 09:36, 2F
→
05/31 09:37, , 3F
05/31 09:37, 3F
→
05/31 09:37, , 4F
05/31 09:37, 4F
→
05/31 09:38, , 5F
05/31 09:38, 5F
→
05/31 09:38, , 6F
05/31 09:38, 6F
→
05/31 09:39, , 7F
05/31 09:39, 7F
→
05/31 09:42, , 8F
05/31 09:42, 8F
→
05/31 09:42, , 9F
05/31 09:42, 9F
→
05/31 09:42, , 10F
05/31 09:42, 10F
→
05/31 10:10, , 11F
05/31 10:10, 11F
※ 編輯: kingofsdtw 來自: 219.86.216.129 (06/02 22:49)
推
06/02 23:52, , 12F
06/02 23:52, 12F
討論串 (同標題文章)
完整討論串 (本文為第 1 之 3 篇):