[讨论]当路由器被人强奸不能上网,你会做何动作?
如题,用网络执法官等监控软件很容易强奸路由器,具体表现为:整个局域网只有用网络执法官切断网络的那个人能上网,其它局域网内的人无法上网。:funk:专业术语偶不会,只能这样简单描述了。基本原理也是ARP欺骗,不过欺骗的对象是路由器。
偶翻遍所有已有的资料,没找到有点实际意义的答案,在此提出讨论。
个人认为最有效的办法是拔掉此人的网线。但偶不是网管,汗!
相信也有其它同仁受过这种苦,对此无奈。
请教各位,遇到这种情况,你会怎么办? 以其人之道还之其人之身. 不能做技术处理? 最好的办法就是使用天网防火墙!使用时将安全级别调到高,网络执法官就无能为力了 没硬件 + 没管理权限, 只能用软件来解决.
试试wawahaha写的那个arpguard小工具. [quote]原帖由 [i]山鹰[/i] 于 2007-1-15 09:22 发表
最好的办法就是使用天网防火墙!使用时将安全级别调到高,网络执法官就无能为力了 [/quote]
这个办法你用过?确实能行??????好像是防御不了的吧。装个AntiArp吧,这个小东西可以抗ARP攻击,不过前题
是第一次安装配置的时候网关是正确的。另外,网络执法官强奸的不是你的路由器,而是你电脑的ARP表,呵呵! 晕,绑定啊。 要同时绑定路由器和电脑上面的ARP表 虽然类似的问题我这里没发生过,但我在我这里是这么做的:
1/ 每个部门一个vlan, 共50个
2/ 在三层交换机上设置ACL,禁止vlan之间的互访,只允许他们访问服务器的vlan,而在服务器vlan的acl中设置每个服务器必须开放的端口,其他一律关闭
3/ 三层交换机上对各vlan对应的IP子网的网关地址做静态ARP绑定
4/各个PC开机登陆域,域登陆脚本中也设置网关的静态ARP
5/ 网络设备也有自己的VLAN,自己的IP子网,只与网管服务器能通,所有设备均不配置网关。
6/ 二层交换机上使用MAC——PORT的绑定
效果:我管理的企业网中有PC 1200台,server 50台,网络设备90台,近两年的时间里面非常稳定
有兴趣的可以交流一下阿,呵呵。
尤其是在SecureCRT下写脚本实现各种网络设备的管理,是很有意思的 [quote]原帖由 [i]rjwh21b[/i] 于 2007-3-16 20:10 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=89793&ptid=13488][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
虽然类似的问题我这里没发生过,但我在我这里是这么做的:
1/ 每个部门一个vlan, 共50个
2/ 在三层交换机上设置ACL,禁止vlan之间的互访,只允许他们访问服务器的vlan,而在服务器vlan的acl中设置每个服务 ... [/quote]
这位朋友,你的1200台PC全部都是手动指定IP地址吗?
如果有临时外来的PC加入网络,请问是如何操作的? 手动工作量有点大啊 不学习怎么能阅读别人的东西呢!
页:
[1]