ARP攻擊解決方案 用PPPOE解決問題

　　而且在我經(jīng)手的幾十家網(wǎng)吧都已經(jīng)實施了

　　一、改ROS

　　必須把 ROS 改變成 PPPOE 服務(wù)器的模式帶客戶機器上網(wǎng)

　　關(guān)于 PPPOE 的話題大家可以使用論壇的搜索功能 完全可以看到 圖文并茂的貼

　　二、改客戶機器

　　WINDOWS 系統(tǒng) 已經(jīng)默認(rèn)帶有PPPOE 的撥號方式

　　大家完全可以建立腳本 的方式來讓XP 或者2003 開機自動撥號

　　假設(shè)我這里的寬帶帳號和密碼分別是wzl.8878888密碼是1234567，我這里只舉個例子，當(dāng)然大家自己輸入的時候，需要輸入你們真實的寬帶撥號的帳號和密碼，廢話不說了。

　　1.首先 在桌面上，鼠標(biāo) 右鍵 新建 文本文檔特別注意，命令格式如下：

　　rasdial 寬帶連接 wzl.8878888 1234567

　　rasdial命令是windows自帶的一個命令，可以實現(xiàn)網(wǎng)通，電信，寬帶自動撥號的一個命令。

　　寬帶連接是 你桌面上的撥號連接的程序名，可以自己隨便修改，默認(rèn)的是寬帶連接，自己可以修改為adsl，lan等等的名字都可以。

　　wzl.8878888這個是寬帶撥號的帳號。

　　1234567是寬帶撥號的密碼。

　　特別提醒大家rasdial和寬帶連接之間有一個空格，寬帶連接 和wzl.8878888之間也有一個空格，wzl.8878888和1234567也有一個空格。

　　好了，大家知道了上面的命令及，寫命令的方法。下面我們開始自己寫一個批處理文件把。

　　打開剛剛桌面上新建立的 新建 文本文檔然后輸入：

　　rasdial 寬帶連接 wzl.8878888 1234567

　　(再次提醒大家：寬帶連接，是你點桌面上的撥號程序的名稱，如果你的撥號程序名稱是adsl那這里的寬帶連接就填寫adsl，wzl.8878888是寬帶撥號帳號，1234567是寬帶撥號密碼，請都正確填寫)

　　然后大家點“文件”另存為

　　然后在文件名里輸入adsl.bat點保存就可以了，這個時候大家會發(fā)現(xiàn)桌面上多了一個adsl.bat的批處理文件，請看

　　(特別注意的是：adsl.bat里的adsl是我自己隨便取的一個批處理文件名，當(dāng)然大家可以隨便取，比如lan，寬帶撥號，等名字都可以的)。

　　好了。現(xiàn)在大家只要把adsl.bat鼠標(biāo) 左鍵點著不要放，然后拉到 開始 程序 啟動里，或者在計劃任務(wù)里設(shè)置一下就可以實現(xiàn)開機自動撥號連接了了。兩種方法，可以任選一種，每種方法都可以，大家覺的哪種方法好就用哪一種，兩種方法詳細介紹如下：

　　1.把adsl.bat鼠標(biāo) 左鍵點著不要放，然后拉到 開始 程序 啟動里

　　已上介紹的方法，同樣適合win98/winme/win2000/winxp/win2003等操作系統(tǒng)。

　　第3步 取消本地 網(wǎng)絡(luò) 原有的 網(wǎng)關(guān)和 DNS

　　================================

　　OK 使用上述方式 解決ARP 問題

　　==================================================================

　　以下是轉(zhuǎn)自 xqs428 的文章

　　ARP欺騙的防御措施

　　一就是不使用ARP協(xié)議,沒有ARP協(xié)議也就沒有ARP欺騙

　　1)在局域網(wǎng)內(nèi)可以采用PPPOE的方式上網(wǎng),PPPOE不使用ARP協(xié)議,也就不會產(chǎn)生ARP,而且PPPOE不會改變原來的局域網(wǎng)拓?fù)浣Y(jié)構(gòu),它是在802.3的基礎(chǔ)上的二次封裝數(shù)據(jù)包.

　　2)使用PPP方式上網(wǎng),ADSL就是這個方式,這個有點片面,需要改變原本的拓?fù)浣Y(jié)構(gòu).

　　3)使用IPX協(xié)議,難于實施

　　4)使用其他的模式上網(wǎng),不再討論,不是很現(xiàn)實

　　繼續(xù)使用ARP協(xié)議,從其他的方面防止ARP病毒

　　1)下層設(shè)備和上層設(shè)備的雙向綁定,雙先綁定能解決ARP欺騙所造成的斷網(wǎng)現(xiàn)象,但是此方式內(nèi)的缺陷是在網(wǎng)絡(luò)內(nèi)ARP數(shù)據(jù)包亂飛(影響網(wǎng)絡(luò)質(zhì)量,在用戶多的情況下,用戶端綁定不利于實施,適用于小型網(wǎng)絡(luò)).

　　2)用戶端處上接可網(wǎng)管交換機,用交換機進行端口和MAC地址以及IP地址的綁定,很好的防止ARP欺騙,但是這個也有一定的缺陷(投資大,需要可網(wǎng)管交換機,適用于小型網(wǎng)絡(luò))

　　3)用戶端使用ARP防御工具,比如彩影的ARP防御工具,或者包過濾防火墻,很好的防止ARP欺騙(在用戶端比較多的情況下不利于實施,用于小型網(wǎng)絡(luò))

　　4)使用路由器廣播網(wǎng)關(guān)的MAC地址的ARP包,ARP病毒在發(fā)包比較厲害的情況下用處不大(沒有根本阻止ARP影響,不怎么地)

　　對于各地公安的情況

　　一般可以這樣解決

　　方法一：

　　-光纖--鏡像交換機(告訴公安管理的端口)--ROS (用1個和公安鏡像的端口)--網(wǎng)吧客戶機

　　方法2

　　使用ros的packet sniffer實現(xiàn)公安監(jiān)控!

　　routeros工具里提供了packet sniffer這個工具，原理是網(wǎng)絡(luò)嗅探器，把經(jīng)過設(shè)置界面(interface)的數(shù)據(jù)包復(fù)制一份發(fā)給指定的服務(wù)器(也就是裝有任子行)的網(wǎng)卡，這樣，裝有任子行的機器就可以嗅到這些數(shù)據(jù)包進而實現(xiàn)監(jiān)控功能。

　　具體做法是：tools-->packet sniffer

　　然后點擊 settings 出現(xiàn)一個設(shè)置筐：

　　general里interface 是你要進行轉(zhuǎn)發(fā)的界面

　　memory limit是使用 大內(nèi)存數(shù)量一般10KB足以

　　file name可以不填寫file limit也可以默認(rèn)

　　Streaming頁里Server項里填寫裝有任子行的機器ip

　　注意：streaming enabled已經(jīng)要選上，呵呵，不選不會啟動的

　　Filter頁里除了Protocol可以改一下，其他的都可以默認(rèn)的，因為目的就是將所有的包轉(zhuǎn)發(fā)過去，默認(rèn)的就可以了。

　　protocol分為ip only;all frames;mac onlay no ip三種。

　　其中 ip only就是我們要用的項目，基于ip地址進行傳播的數(shù)據(jù)，其他的兩種用與特殊環(huán)境下，不用理會

　　完成了以上設(shè)置，選上了streaming enabled，packet sniffer就開始工作了：)怎么才能知道它是否正常工作呢??很簡單，去指定的服務(wù)器上看任務(wù)蘭里網(wǎng)絡(luò)圖標(biāo)的狀態(tài)，如果收到的包超級多的話就是正常了，呵呵，用過帶端口鏡象的人都知道這個現(xiàn)象吧：)