作者kingofsdtw (不能闲下来!!)
看板Network
标题[问答] Netcut防护.NAT端该做的事情?
时间Tue May 31 00:20:14 2011
设备:
ip分享器-Port RouterOS
希望:(假设Client端本身有防护)
a.不需要pppoe.也不需要去了解客户mac
b.至少做到Nat端不会被诈欺...的便宜手段
最近看到:
(1)自动绑定ARP script
http://www.wretch.cc/blog/kingofsdtw/16925472
//绑客户端,也可以顺便挡其他软体
请问版上大哥们,这样不会绑到假mac占用ip的吗?
如果设定5分钟更新一次,绑到假的mac,那原来真实user就连救的机会也没...
(2)防火墙挡掉Netcut封包 (看起来不错用顺便转录分享)
http://www.wretch.cc/blog/kingofsdtw/16926146
:当防火墙规则越来越多时候,明明不相干的规则,竟然会使网路停摆,
但是防火墙系统没出现.提示错误(分段测试找不到错误规则.不知道谁drop)
(小弟刚上手乱贴大量防火墙...)
[结果回馈]2011/06/01 没经过switch.直接接在分享器port上
(2)感谢wst2080帮忙
经过测试後证实防火墙挡这些ip没用,"NAT"端还是会被骗.更不用说client
https://picasaweb.google.com/lh/photo/bpPOKZybYNmzmxnIhGHKug?feat=directlink
(pc1攻击者开启netcut图)
https://picasaweb.google.com/lh/photo/LPc0JnghVTsBB_xBXkmP5w?feat=directlink
(IP分享器找不到pc2,只有攻击者可以连到pc2)
*注意一点是当pc1登入pc2後可以正常上网,当pc1登出後pc2又不能上网
(3)感谢stpaul和大陆网友
static DHCP
https://picasaweb.google.com/lh/photo/D2P8JqZaleG3JjtLFNQdHg?feat=directlink
https://picasaweb.google.com/lh/photo/qYOi90paq-vL0Vj9XIpi7Q?feat=directlink
结果:
https://picasaweb.google.com/lh/photo/fJgFUb2WHsfwokV65CdwZg?feat=directlink
改善方法: 只接受DHCP发放的IP
把interface只开启 reply-only就不会接受ARP,但是会回复请求
*并且dhcp开启"add arp for lease"
--
载点:
http://0rz.tw/3LtYr
**以下内容需推文才能观看** 仅提供学术使用.禁止用於商业行为
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 124.8.250.251
※ 编辑: kingofsdtw 来自: 124.8.250.251 (05/31 00:29)
1F:→ wst2080:推文??? 05/31 09:21
2F:→ wst2080:我不太知道你所谓的自动绑定ARP这部份... 05/31 09:36
3F:→ wst2080:一般而言 据我所知的部份 绑定ARP可以搭配DHCP的配发 然後 05/31 09:37
4F:→ wst2080:再行绑定ARP 这样就不会有相关的问题发生 05/31 09:37
5F:→ wst2080:至少所谓的Netcut 只是一个ARP的弱点 会去欺骗GW及Client 05/31 09:38
6F:→ wst2080:的ARP Table 05/31 09:38
7F:→ wst2080:至少要先固定住GW的ARP Table後 再行处理用户的ARP Table 05/31 09:39
8F:→ wst2080:而你所提出的第二个方法 我比较纳闷的是... 05/31 09:42
9F:→ wst2080:这个规则只是同一输入端的Port及IP范围而已... 05/31 09:42
10F:→ wst2080:这真的有效能抵制Netcut吗? 05/31 09:42
11F:→ wst2080:第2个方法 我思考跟人讨论过了 那是骗人的 =.=b 05/31 10:10
※ 编辑: kingofsdtw 来自: 219.86.216.129 (06/02 22:49)
12F:推 stpaul:赞!! 原来还可以这样玩,太强了... XD 06/02 23:52