话说WAYOS中所谓利用IP VLAN来实现用户隔离的作用分析
2011-04-21 11:23
906 查看
IP VLAN
其实这个功能是懒虫向WAYOS建议的,就是可以自定义DHCP的掩码,然后填上255.255.255.255,这样这个用户就隔离在一个IP地址的网段里面,意思就是无法访问到别的机器,可以防止ARP,P2P攻击软件等。
对于这个话题,其实我一直不相信他可以防止ARP的,为什么呢?因为我深知ARP的原理,再者知道255.255.255.255是可以收到广播包的,问题懒虫一直说有效果。直至上次他在装路由,然后Ping 192.168.1.1的时候一直掉包,我就告诉他肯定是ARP,后面他就使用PPPOE,就不会掉包了。后面我也抓包分析,确实是盗号木马在发ARP包想盗取用户信息。下面我对这个问题给大家分析分析。
首先一点,这个IP VLAN是肯定不能防止ARP的,为什么呢?因为ARP一般使用广播,所以可以被穿透,这个就是上面我说的那个问题,那为什么P2P软件扫描不到用户呢?我告诉一下大家P2P软件的原理:P2P软件在启动的时候是要扫描网段的,这个时候他会给大家发送广播包(也有用Ping,如果用ping,就直接数据包出不去了),其实就是ARP包,这个时候如果有用户返回Reply的ARP数据包,这个时候P2P控制软件就把他列为在线列表。我要告诉大家的是,如果控制机用ARP广播,这个时候所有机器都是可以接收到广播包的,问题在于,当用户回复的时候,他不是以广播的形式的,他是直接以之前的包的源地址回复,这个时候就不是用广播的,管理机是收不到消息的,也就当成没有回复,就不在线,不在线了就当然没有控制该机器了。
所以IP VLAN是不能防止ARP的,但可以防止一些P2P控制软件。想防止ARP,只能使用PPPOE,抛弃ARP协议;想用户隔离,只能用真实的VLAN隔离。
大家在这上面有什么想法,可以直接和我联系QQ561454825。像那些盗号木马的软件,他也是一直在广播ARP包,告诉路由说,整个网段的IP都在某个MAC地址的机器上面,这样路由及其他的机器就会把数据包发给他,然后他进行分析,并得到密码等信息,然后再将包转发给原来的目标机器,用户却全然不知道啊
其实这个功能是懒虫向WAYOS建议的,就是可以自定义DHCP的掩码,然后填上255.255.255.255,这样这个用户就隔离在一个IP地址的网段里面,意思就是无法访问到别的机器,可以防止ARP,P2P攻击软件等。
对于这个话题,其实我一直不相信他可以防止ARP的,为什么呢?因为我深知ARP的原理,再者知道255.255.255.255是可以收到广播包的,问题懒虫一直说有效果。直至上次他在装路由,然后Ping 192.168.1.1的时候一直掉包,我就告诉他肯定是ARP,后面他就使用PPPOE,就不会掉包了。后面我也抓包分析,确实是盗号木马在发ARP包想盗取用户信息。下面我对这个问题给大家分析分析。
首先一点,这个IP VLAN是肯定不能防止ARP的,为什么呢?因为ARP一般使用广播,所以可以被穿透,这个就是上面我说的那个问题,那为什么P2P软件扫描不到用户呢?我告诉一下大家P2P软件的原理:P2P软件在启动的时候是要扫描网段的,这个时候他会给大家发送广播包(也有用Ping,如果用ping,就直接数据包出不去了),其实就是ARP包,这个时候如果有用户返回Reply的ARP数据包,这个时候P2P控制软件就把他列为在线列表。我要告诉大家的是,如果控制机用ARP广播,这个时候所有机器都是可以接收到广播包的,问题在于,当用户回复的时候,他不是以广播的形式的,他是直接以之前的包的源地址回复,这个时候就不是用广播的,管理机是收不到消息的,也就当成没有回复,就不在线,不在线了就当然没有控制该机器了。
所以IP VLAN是不能防止ARP的,但可以防止一些P2P控制软件。想防止ARP,只能使用PPPOE,抛弃ARP协议;想用户隔离,只能用真实的VLAN隔离。
大家在这上面有什么想法,可以直接和我联系QQ561454825。像那些盗号木马的软件,他也是一直在广播ARP包,告诉路由说,整个网段的IP都在某个MAC地址的机器上面,这样路由及其他的机器就会把数据包发给他,然后他进行分析,并得到密码等信息,然后再将包转发给原来的目标机器,用户却全然不知道啊
相关文章推荐
- 分析 OVS 如何实现 vlan 隔离 - 每天5分钟玩转 OpenStack(140)
- asp.net mvc利用knockoutjs实现登陆并记录用户的内外网IP及所在城市
- Asp.net MVC利用knockoutjs实现登陆并记录用户的内外网IP及所在城市(推荐)
- 分析 OVS 如何实现 vlan 隔离
- 利用协议分析工具学习TCP/IP并捕获内网用户密码
- 分析 OVS 如何实现 vlan 隔离 - 每天5分钟玩转 OpenStack(140)
- 分析 OVS 如何实现 vlan 隔离 - 每天5分钟玩转 OpenStack(140)
- 分析 OVS 如何实现 vlan 隔离 - 每天5分钟玩转 OpenStack(140)
- 分析 OVS 如何实现 vlan 隔离 - 每天5分钟玩转 OpenStack(140)
- RHEL7 利用单个物理网卡实现VLAN
- 利用Servlet和jsp实现客户端与服务器端的用户登录信息验证
- 利用Windows2003 IP安全策略实现服务器远程桌面端口(3389)访问控制
- 利用Cookie,实现动态显示用户曾经浏览过的商品
- 【Linux4.1.12源码分析】邻居子系统实现分析 - ARP - ip_finish_output2()
- Linux下IP冲突检测程序源码及分析(利用免费arp)---感谢原作者
- Java web 实现 之 Filter分析ip统计网站的访问次数
- 利用Servlet和Spring JDBCTemplate实现用户登录效果
- 【实验五】利用三层交换机实现VLAN间路由
- Thrift结构分析及增加取客户端IP功能实现
- 黑马程序员:装饰类的作用——增强被装饰类的方法的功能(利用组合实现复用)