黑色洋娃娃 wrote:
ARP攻擊的部分用一台VLAN Switch應該就可以解決了...(恕刪)
ARP 攻擊無法用VLAN Switch 就可以解決! 剪刀手之類的才可以喔!
ARP 攻擊是Client 端仿造Router 的MAC & IP 以及製造大量的IP與MAC ,以不同的MAC跟Router 持續且快速的更換IP,造成router 的Loading 過重耗盡資源而死..
所以要防止ARP 攻擊的條件:
1. 要雙向綁定 IP & MAC 的正確位置,在router 上需要binding 以外,最好在client 端也要綁定(開機中的.bat 檔案讓它自動執行)
2. Router 需要在一定的快速時間內,發出ARP 廣播封包給Client 端接收,以防止ARP 病毒的機器持續送假的ARP封包出來!
這樣才可以解決ARP攻擊的方法! 可惜市售的Router 沒有幾台可以有如此功能
黑色洋娃娃 wrote:
謝謝tan87888...(恕刪)
言重了! 大家討論研究,說錯或是有誤也無所謂...只希望可以解決板上讀者的問題.
您說的沒錯, 至少需要有IP&MAC Binding 的Router + VLAN Switch 才可以"基本"解決問題存在, 而VLAN Switch 在現實環境中實施也有所困難,有幾點原因:
1. 共享社區或是宿舍舉凡這類共用網路->常常需要網芳的使用,所以要完全利用VLAN阻隔的話,區域網路內的最終目的以及資源共享功能可能會喪失殆盡...且會被用戶罵..
2. 光是IP &MAC Binding 也不夠,除非有特定網管人員天天去Add new Client 的MAC 以及IP,要不然DHCP 的用戶是無法上網的(公司裡面環境可以,因為是行政命令)
3. ARP 病毒變種也是相當多.防不勝防.
最後,主要的重點還是在Router 上, 目前防止ARP 攻擊的方法有很多,大部分是從Router 上去處理的,主要也是牽涉到採購設備價格因素(畢竟VLAN Switch 以及一般Dump Switch 還是有價差),有興趣的話,可以做個實驗,只有開啟Router 的IP&MAC Binding 功能,下面連接2台PC + VLAN Switch ,然後開啟ARP 病毒去攻擊,你應該可以看到,最後是Router 掛點,而不是PC 找不到正確的Gateway...
所以,大家都在加強,如何做到100% 防止ARP攻擊的方法,在路由器上做手腳...
blackicbm wrote:
想當初我為老爸規劃學生宿舍就買了一台網管型 Switch Zyxel ES-2024A (NT$6,600) 跟一台 Vigor 2910 (NT$4600)
利用網管型 Switch 可以鎖住一個 port 只有一個 IP, 利用 Vigor 2910 鎖住每人只有 200 個 sessions
這樣一來隨便想養啥動物也是拖到該住戶本身的網路速度, 對其他人的影響就不大了; 而且住戶因只有一個IP也沒辦法多裝幾台電腦蓋牧場
快一年了, 除了ADSL斷線時會被抱怨外, 其餘都非常地OK而且穩定!
只是所費不貲, 花了一萬多塊錢哩! 不過也省得我跑來跑去了...
我也是用類似的方法..但是比較陽春一點..
我買了一台Abcom MH350做管制..沒用網管型switch...只用3com的16 port 無網管型switch
總共有12間房間..
之前用DHCP.只開開15個IP..每個IP也是 200 個 sessions..然後設定80,21等port等有最高優先權...
用了一年多都沒事..直到有一天中了ARP.全掛..
現在改成每個學生給他一個固定IP..然後綁卡號..也不用到那邊設定..遠端就可以在家裡設定...
也有個好處..誰在惡搞都能知道..
但因為學生少..只有12人.一年一簽.所以每年改一次而已...所以可以這樣搞..如果人多的話流動率高的話..會忙死.
但是就目前多人分享的環境,如社區/宿網..甚至是旅館Hotel ..都有其難以管理的地方..我們就拿旅館系統來看看..目前旅館的問題可能比社區/宿網還要複雜,若是可以解決此問題的話,那真的就可以無敵瞭! 不過,當然要在有限預算考量下來衡量.
1. 旅館Hotel 的環境客戶,大概就是睡一個晚上,可能都是使用NB上網..而且天天換MAC & IP..還隨時隨地的更換.
2. 網管不可能天天..時時刻刻去綁IP&MAC 工作..要不會死人..沒有休息的時間.
3. 大部分的旅館Hotel 都是讓客戶自動去抓取IP為主(DHCP),有一些還加上瞭所謂的Web Login 控制,有點類似像Hifly 方式去控制使用者,不過這樣也是成本較高,需要控管登錄的帳號密碼.
如上所述,在隨時變動的環境裡面,如何有效去綁IP&MAC ? 這是一個很大的問題..
所以設備除暸基本的QoS 限制以外,還有每一台PC可用的MAX Session控制...還需要:
1. 自動將上來的IP & MAC 以全自動方式由路由器去做綁定的工作(Auto IP&MAC Binding),而且是第一次上來要IP的MAC 直接就鎖定(以防止PC端中病毒更改MAC).
2. 自動將PC端所獲取的DHCP 有效時間縮短(可設定,,比如有效期1小時或是30分鐘),當DHCP 有效時間超出之後,系統會自動將此IP&MAC 原先綁定的資料,自動移除.
如此,管理者便不需要去做人工綁定,而是路由器智慧的去做自動綁定工作,以及自動釋放以綁定但是超時的電腦,可以做到完全自動化方式,減少網管工作,又可以撤底解決ARP 病毒的騷擾..
mravip wrote:
想請問一下...
MH350如何將80和21port設為最高優先?
是用"管制條例"嗎?
另外回一下樓主: 這台MH350雖然效能不是太好,但能做的事情還真多,而且設定簡單,值得參考...
(PS.只有十多人用應該很夠,我是四十多人一起用時,效能就差了....)
我記得他當初的DM..說MH350只能用在30人以下的網路...向我這邊只有12個房間..已經很夠了..
他還有一台MH550.用在人數較多的環境.但是很貴就是了..一萬多一台..可以買兩台MH350了..人多的話不如買兩台MH350來用
對..先到管制條例選項服務表裡設定要被優先使用的東西.。http,ftp,MSN等可能會用的照選一選..假設取名first
然後在IM/P2P選項把相關的P2P全打勾..假設取名"P2P"
(PS.他的P2P..去年底更新韌體後多了eMule選項...看他介紹是說根據使用行為去判斷.有沒有用我是不知道.不過大家使用都沒在反應很慢.)
頻寬設定一個最高優先順序和一個較低順序.和要給他們的頻寬..假設最高取名high..低得取low..
之後再到管制條例選項.把"服務名稱"選"first".IM.P2P管制打勾..頻寬管理選"high"=>給你剛剛在"first"裡面有選的東西用的
另一個"服務名稱"選"ANY".IM.P2P管制不勾..頻寬管理選"low".連線數不要給他太多..=>給其它沒選到的用的
住外面 還不能掛BT.GB.CB等(FOXY除外) 況且GB CB 下載速度並不快(一般下載約35~50KB 影響他人有限吧)
說真的 以現在學生使用來說 沒這幾樣軟體不太方便吧
(我也想用正版 可是學生哪有錢可以甚麼都買正版 頂多一些遊戲買正版)
那跟學校宿舍沒兩樣 只差在沒流量管制
我目前住的地方 是下載30多M/上傳不清楚@@ 共有33間房 房東說是上下載相等光纖
上傳我測試過 似乎是限制在1M左右 下載則是依照當前使用人數 假設以30M來說
要是有當前有2人使用 就是30M除以2 3人就是30M除以3 以此類推
不過我不清楚是使用哪種機器來管理
掛BT是OK FOXY被檔(這無所謂 FOXY本來就滿糟糕的 無法調整上下載速度
PORT有限制
不過正常用起來很不錯了 速度滿快的 非尖峰期有測出 "3500KB/s" 的速度
以上是一點小小的意見
內文搜尋
從 APP 打開
X