中秋小长假后还有一个国庆大长假，备点干货打发旅途时间碎片是不错的选择。
2015 年发布的第四代 Apple TV 可以说带来了这个产品线自诞生以来最大的变革。如果我...
主机游戏略显暗淡的情况下,这届东京电玩展称为东京手游展或者东京VR展可能更恰当些。
按照三星的说明，此次更新之后，没有电池隐患的Note 7，通知栏、电源键菜单和Always-O...
依靠 iPhone 7 Plus 或许可以扭亏为盈，当然笑逐颜开~
残疾人用户表示，他们希望iPhone和iOS能帮助他们更容易接听电话~
实时协作功能的最显著效果，就是可以让多名用户同时处理同一个文档，并且几乎零延迟地...
目前该机子的中国大陆行货版已经上线官网，以盖乐世 On7（2016）的命名正式发布。
在游戏中玩家将作为一家之长，带领着全家老小一同熬过这一场核弹危机，在游戏中有一枚...
在许多纬度较高的地区经常在下雪的时候出现利用小狗拉雪橇的比赛，这在许多的影视作品...
《追忆之青》由日本知名插画家天野喜孝负责主视觉插图、知名音乐制作公司 Basiscape ...
总有一些理想主义者试图以自己的努力撞开新世界的大门，新世界的风景在每个人的内心有...
《成吨子弹（Tons of Bullets!）》由游戏开发商FredBear Games在移动平台中所推出的游...
此前威锋网报道了《骑士对决：中世纪竞技场（Knights Fight: Medi Arena）》即将上架...
当“故事大王”Telltale 与“影坛巨子”华纳宣布携手为玩家带来一部《蝙蝠侠》游戏时...
如果你还在为你的iPhone 7挑选数据线？百事鸟值得推荐！
新版Smart Battery Case的电池容量也从1877提升到了2365毫安时，在中国区售价依然是84...
如果在表带上设计一个充电插口，从理论上来看还是可以实现的。
Olloclip 公司在其官方 Facbook 上表示，他们很快就会为 iPhone 7/7 Plus 推出可更换...
陶瓷版Apple Watch，是否是一款百搭的手表呢？
AccuRate 跟普通的 iPhone 保护壳并没有太大的区别，它拥有一个用于供电的 Lightning ...
在用户真正适应没有耳机接口的日子之前，苹果还有很多工作要做。
新版本的苹果 Smart Battery case 电池保护壳的电池容量将从旧版本的 1877 毫安时提升...
我家里用无线路由器绑定了IP和mac，就不用设置wifi密码了吧
注册时间 最后登录
在线时间1499 小时 UID
主题帖子人气
白苹果, 积分 824, 距离下一级还需 676 积分
我用的是tplink-wr740n，两个静态ARP的MAC地址（WAN和LAN的）我都绑定了，可我不设置密码用手机登不上去啊，跑出个网页登陆框来，设了密码手机打开wifi设置输入就能上，有用过的朋友指点下
注册时间 最后登录
在线时间2773 小时 UID
主题帖子人气
提示: 作者被禁止或删除 内容自动屏蔽
注册时间 最后登录
在线时间28 小时 UID
主题帖子人气
耐心是成功的关键，不
提示: 作者被禁止或删除 内容自动屏蔽
注册时间 最后登录
在线时间73 小时 UID
主题帖子人气
一次在电脑电话输入就不用在打密码了
注册时间 最后登录
在线时间579 小时 UID
主题帖子人气
路由器里面 无线参数-&基本设置,是不是勾上了“开启安全设置”...?
注册时间 最后登录
在线时间1606 小时 UID
主题帖子人气
不用了，绑定后别的设备就无法接入
注册时间 最后登录
在线时间241 小时 UID
主题帖子人气
好贴 有没有高手球下电话
注册时间 最后登录
在线时间103 小时 UID
主题帖子人气
你ip过滤了吗'过滤就不用设置密码了
注册时间 最后登录
在线时间1731 小时 UID
主题帖子人气
绑定后别人收的到信号但是上不了网
威锋旗下产品
Hi~我是威威！
沪公网安备 29号　|　沪ICP备号-1
新三板上市公司威锋科技（836555）
增值电信业务经营许可证：
Powered by Discuz!ARP的欺骗、攻击与MAC/IP绑定之解决方案
来源：pconline 原创&
作者：佚名&
责任编辑：huangxing&
　　网络中ARP欺骗与攻击反复出现，是近来网络行业普遍关注的现象，随着ARP攻击的不断升级，不同的解决方案也在市面上流行。有些方案表面上看似乎有效，但实际上随着ARP攻击手断更新，它们就发挥不了什么作用，而且还会还会降低局域网的工作效率。　　对于防止ARP欺骗攻击，我们认为最有效的方法是先把基本工作做好，本文解释了ARP攻击预防的基本思想。我们认为读者如果能了解这个基本思想，就能了解为何双向绑定是一个较全面又持久的解决方案了。ARP攻击解决方案　　ARP协议其实就像一个思想不坚定者，容易被其他人影响，ARP欺骗/攻击就是利用这个特性，误导电脑作出错误的选择。就像一个没有计划的快递员，想要送信给&张三&，就在马路上喊&谁是张三？&，并投递给最近和他说&我就是&的人。如果是在一个人人诚实的地方，快递员的工作还能进行下去；但若是旁人看到快递物品值钱，想要骗取的话，快递员这种工作方式就会造成混乱了。　　我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见的ARP攻击有两种，一是针对，二是局域网上的电脑，也就是用户。攻击器就好比发送错误的地址给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般电脑就是直接和收件人谎称自己就是邮递员，让用户把需要传送的文件转发给发起攻击的电脑。　　由于电脑及的ARP协议意志都不坚定，因此只要有恶意电脑在局域网里持续发出错误的ARP信息，就会让所有的电脑及器信以为真，作出错误的传送网络包动作。ARP攻击就是以这样的方式，造成网络运行不正常，达到盗取用户密码或破坏网络运行的目的。而针对ARP攻击的常见预防方法，可以分为以下三种情况：　　利用ARP echo传送正确的ARP讯息：通过频繁地比对正确的ARP对照表，来达到防制的效果。　　利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。　　舍弃ARP协议，采用其他协议，例如PPPoE方式。　　以上三种方案前两种方法较为常见，第三种方法由于变动较大，只针对部分用户使用。　　ARP echo是最早设计出来的防ARP攻击解决方案，但随着ARP攻击的升级，它也渐渐失去效果。另外这个方法会降低局域网运行效率。我们还以前面介绍的快递员例子来说明ARP echo的作法，它等于是时时用电话提醒快递员正确的地址，降低被干扰的机率。　　这种作法，明显有几个问题：第一，即使时时提醒，仍会有部份信件由于在发出时刚好收到错误的信息，就会以错误的地址送出了；第二，由于必须时时提醒，而且为了保证提醒的效果好，还要减小提醒的时间间隔。这就好比快递员一直忙于接听总部打来的告诉他正确地址的电话，根本就没有时间可以发送信件，耽误了正事；　　以ARP echo方式应对ARP攻击，也会发生相似的情况。第一，面对高频率的新式ARP攻击，ARP echo发挥不了效果，断线断网的情况仍时有发生。第二，ARP echo方案必须在局域网上持续发出广播网络包，占用局域网带宽，使得局域网工作效率降低，整个局域网的电脑及时时都在处理ARP echo广播包，还没受到攻击局域网就开始卡了。第三，必须在局域网有一台负责负责发ARP echo广播包的设备。　　常见的ARP echo广播包有两种发送方法，一种是由路由器持续发送，另一种是由局域网中电脑上安装的软件发送。由路由器持续发送的缺点是路由器原本的工作就很忙，因此无法发送高频率的广播包，被覆盖掉的机会还是很大。另一种就是采用和ARP攻击同样的方式，在电脑上持续发出正确的APR对照表，但是这种作法大幅影响局域网工作，整个局域网都被广播包占据，效果仍然有限。　　此外，ARP echo一般对于防止局域网电脑被骗有效果，但对于路由器没有效果，仍需作绑定的动作才可。　　ARP echo的作法是不断提醒电脑正确的ARP对照表，而MAC/IP绑定则是针对ARP协议&思想不坚定&的基本问题来加以解决。我们认为ARP绑定的作法，等于是从基本上给这个快递员培训，让他把正确的人名及位址记下来，不再受其他人的干扰。由于快递员脑中记住了正确的对照表，因此完全不会受到别人的干扰，能有效地完成工作。就可以避免应为因受到攻击而断网的情况。　　不过ARP绑定并不是万灵药，还需要做好一些基础工作才有效。第一，即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以剔除；第二，必须做双向绑定才完全有效果，如果只作路由器端绑定效果有限，电脑仍会因被欺骗而发生掉包或断线的情况。　　双向绑定的方法，就是一台一台加以绑定，这就会增加工作量。但是从上面的说明可知道，只有双向绑定才能有效果地解决ARP攻击的问题。也就是说双向绑定是个细活，可以较全面性地解决现在的ARP攻击的问题，网管如果为了一时的省事，而采取片面的ARP echo解决方式，将来还是会遇见问题的。
网络设备论坛帖子排行
最新资讯离线随时看
聊天吐槽赢奖品查看:12095|回复：24
现在公司只有一个TP 4148的网吧型路由器和H3C S1526交换机，各个办公室有N个小交换机等等，现在做了IP与MAC绑定和MAC白名单过滤来限定外来PC的网络访问~~~~
但是现在的问题是，如果A是内部PC，B是外来PC，把B的MAC和IP都改成和A的一样的话，就可以正常上网了。
因为A是公司的电脑做了权限设置，就是用来限制员工的，而B是外来PC（如笔记本等等），如果用B来上网就限制不了什么了~~~
要切断B的网络就得人为行政手段，我要问的就是用技术怎么能做到？？？
看来是个难题？？
这个现在是很多局域网的共同问题。
试试mac+端口绑定吧，只是这样很麻烦。
mac+端口绑定....
那改MAC的哥们儿就是用的那个端口的网线，只不过是不用公司的台式机，改用自己的笔记本罢了。
而且也不好绑定吧，因为从H3C 24口交换机出来的一个端口又接了其它小型交换机在办公室里面使用着呢。
本帖最后由 Hack38 于
11:04 编辑
不如单设个代理服务器，在代理中设置每人的权限
改MAC这个不好控制
而且要是IP不和MAC绑定使用的话~~改了MAC还真不好查是谁在用网络~~~
TP 4148的IP绑定MAC使用过，好像是不稳定，有时候会掉线。
使用需要身份验证的链接吧
代理服务器 或者vpn之类的...
引用:原帖由 leewrandyr 于
19:17 发表
使用需要身份验证的链接吧
代理服务器 或者vpn之类的... 第一个需要身份验证的链接是什么意思？
第二个我还没玩儿过VPN呢，最近正在研究VPN，内网VPN会慢吗？上百台PC先连上一台SERVER再上外网？那对SERVER的配置要求是不是要很高？
初级工程师
做一下端口安全的配置，比如交换机上eth1口。你可以设置成只允许几个MAC客户端，且可以设置只允许某个MAC地址的设备接入
我想建立个域可以解决你的问题
域也不好解决啊，现在我正在为这个问题头痛呢！！！
下面的人员不能更改IP，他们就改MAC地址，改成可以上网的人的MAC地址，这样就抢了IP地址！！导致正常要上网的人的网络很不稳定，更可恨的是，有时竟改成服务器的IP地址，造成整个网络故障！！！
我想了一个办法，不知道可不可行。
再用一个路由器接在现在的交换机下面，路由器的WAN口接交换机的LAN口，路由器WAN口用从交换机处获得的动态IP，然后路由器再给下面的客户机分配自己的IP，此IP和上层交换机不在同一网段，路由器下层IP可以访问上层IP（相当于访问外网），但不能直接设置成上层交换机下的IP，这样出不去。也不会再出现上层IP的冲突。
mac地址+ip地址+端口
三个一起绑定
H3C S1526没有10楼说的eth1口配置功能吧？
就算有，人家改了MAC也完蛋~~
三个一起绑定的话~~~不现实，办公室里面还有小型交换机呢~~
12楼的想法不现实，不信你就可以试试。
可以在交换机上划分vlan,把不同用户组,服务器等放在不同的vlan里即可.
H3C S1526交换机:&&支持基于端口VLAN, 支持VLAN最大数目:26.
支持128个802.1Q的VLAN，VLAN ID 1-4094可配.
如果要防止外来PC冒充内部PC(MAC和IP都改成一样的)上网,可以通过在公司出口统一设定上网策略(不基于pc的).有些路由器支持简单的访问控制列表(ACL), 或所有要上外网的pc都配置要通过一台代理服务器,外来pc要上网也要配置成通过这台代理服务器. 代理服务器可用双网卡,每个网卡在不同的网段,内部pc不通过代理是上不了网的. 如果想要高性能高可靠的细粒度的严格控制上网行为,可购买相关的专业设备.
引用:原帖由 yy397 于
17:08 发表
可以在交换机上划分vlan,把不同用户组,服务器等放在不同的vlan里即可.
H3C S1526交换机:&&支持基于端口VLAN, 支持VLAN最大数目:26.
支持128个802.1Q的VLAN，VLAN ID 1-4094可配.
如果要防止外来PC冒充内部PC(MAC和IP ... 关键就是外来PC冒充内部PC(MAC和IP都改成一样的)上网~~~
设置代理的话，现在就要把所有PC都干掉，慢慢的重新设置~~~
但真不好解决~~~~
要想管好所有pc,如果需要仔细规划设置,还是值得的.代理有很多种配置方式,如果使用透明代理,只需在代理服务器上设置即可.
A 是通过什么方式来控制权限的？？？
你们内部PC加入域了吗？？
有没有对mac 控制的权限？？要是有的话，改MAC地址也应该和A的权限一样
随着宽带的普及，SOHO路由器在办公室和家庭中的应用相当广泛，使用一个宽带路由器连接几台计算机共享上网是我们常用的方法，而且我们还经常利用它提供的打印服务功能来实现打印机的共享。为了对局域网中的用户进行访问控制，设置它们的某些权限，我们可以通过用户的MAC地址对他们进行控制，如将网卡的MAC地址与IP地址绑定，以防止用户随意更改IP地址，或者通过MAC地址设置控制某些用户可以上网，某些用户不可以上网等等，这样就可以达到更好的管理控制的功能，这些都可以通过使用SOHO路由器自带的“MAC地址控制”功能灵活地加以实现。
1、一般来说你这个问题通过IP+mac绑定就可以解决的，因为外来人员的外来电脑是无法知道你们工作人员的ip和mac的；
2、如果是内部员工的笔记本，那就得通过ip+mac+port了，反正就给他一个port，他爱用什么电脑都行（当然，要这样的话肯定得换交换机，投资比较高）；
3、如果所有情况都要防止，这个port就只允许这台电脑上，那就得上桌面管理软件了，比如北信源之类的，很强悍的，但价格也不菲，10万级的！查看: 28520|回复: 7
“静态地址分配”与“IP与MAC绑定”二者的区别
huangdan811
本帖最后由 huangdan811 于
22:23 编辑
想弄清楚路由器中“静态地址分配”与“IP与MAC绑定”二项的区别，查看了网上的一些解释，感觉他们的功能貌似差不多啊。
例：我想利用路由器的“IP带宽控制”来保障办公室每台电脑的最小带宽：
& && && && && &&&方案1：通过“IP与MAC绑定”，让每台电脑的MAC地址和对应的IP进行了绑定，
静态ARP绑定设置.jpg (28.85 KB, 下载次数: 10)
22:17 上传
静态ARP绑定.jpg (15.3 KB, 下载次数: 10)
22:17 上传
& && && && && && && && && & 然后通过开启路由器的“IP带宽控制”，针对每个IP设定最小带宽；
IP带宽控制.jpg (95.3 KB, 下载次数: 15)
22:18 上传
& && && && && &&&方案2：通过“静态地址分配”，固定每台电脑的IP，
静态地址分配设置.jpg (23.67 KB, 下载次数: 6)
22:19 上传
静态地址分配.jpg (15.36 KB, 下载次数: 7)
22:19 上传
& && && && && && && && && &然后通过开启路由器的“IP带宽控制”，针对每个IP设定最小带宽；
IP带宽控制.jpg (95.3 KB, 下载次数: 13)
22:23 上传
请问各位大虾，以上哪种方法正确或是更好，并辛苦解释一下“静态地址分配”与“IP与MAC绑定”二项的区别，谢谢！
静态地址分配是将固定用户的电脑的IP固定，但不限制新加入的电脑；MAC绑定后可以由管理者决定是否仅限这些用户连上英特网。
如果确定只有办公室的人共享网络，那么可以认为这两种方法相同，相比之下IP与MAC绑定更方便网络管理
感谢解答： ）
我就说的简单点啊，静态地址分配是你在路由器里先设定好可以使用的IP地址范围，一般用户能设置的也就是最后一个区间，比如说你路由的网关是192.168.0.1，那你最大可用的IP地址数目是192.168.0.1~255共255个，你可以设定末10~25有效，其他都不能上网，而电脑使用者在上网时必须在自己的网卡设置里设定好IP地址是在10~25区间内才能上网的，其他数字就不能上网了，这个是初级过滤使用者的，这个一般是对网络监督要求不高的办公场所使用较多，只有了解这个网络环境的人才能使用网络，不限电脑和网卡，还可以根据使用者的职务高低来区分IP地址段，来合理分配网络资源的。
比如说经理级的设定为192.168.0.1~20，设定带宽不限制，这样他们使用网络就不受限制了，设定访客为192.168.0.100~150,带宽为1M的，就可以避免访客占用过多资源
而IP与MAC绑定是更高级的设定，是将这个路由器管辖范围内的所有电脑网卡的MAC地址与分配给他的IP地址进行绑定，这样用户想换IP上网就不行了，用户换网卡也得再申请重新与新网卡的MAC地址绑定以后才能用网络的，可以有效监督网络使用状况，防止有人干违规的事情这个一般在大型企业会用的较多。
全手工打字，未百度抄袭！欢迎查证！
感谢解答： ）
huangdan811
本帖最后由 huangdan811 于
09:10 编辑
Lost_7 发表于
我就说的简单点啊，静态地址分配是你在路由器里先设定好可以使用的IP地址范围，一般用户能设置的也就是最后 ...
你好，非常感谢解答，但是我昨晚对MAC与IP进行了绑定，把我这台电脑绑定192.168.1.101,但是今早上网后，发现自己的IP有变成了192.168.1.106,很不解,似乎使用MAC与IP绑定了，并不能给电脑指定的IP地址。
huangdan811
本帖最后由 huangdan811 于
09:08 编辑
GATX011 发表于
静态地址分配是将固定用户的电脑的IP固定，但不限制新加入的电脑；MAC绑定后可以由管理者决定是否仅限这些用 ...
你好，感谢解答，但是我昨晚对MAC与IP进行了绑定，把我这台电脑绑定192.168.1.101,但是今早上网后，发现自己的IP有变成了192.168.1.106,很不解。
这里看看去：
如果看不懂，我再细告诉你如何确保连入路由的电脑受控制
huangdan811 发表于
你好，感谢解答，但是我昨晚对MAC与IP进行了绑定，把我这台电脑绑定192.168.1.101,但是今早上网后，发现 ...
你还需要加上这一项，这样才能给没台电脑的网卡固定对应的IP；或者就是在麻烦点关闭dhcp服务，每台电脑手动设置固定的IP，然后设置IP与MAC绑定
(34.68 KB, 下载次数: 36)
10:25 上传
感谢解答： ）
yangyao1025
其实最直观的区别就是：用“静态地址分配”不用在电脑上填IP地址，从路由器自动获取指定的IP，用“IP与MAC绑定”必须在电脑上填指定的IP才能上网
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,