对通过小区宽带网络上网的用户来说,病毒是最大的威胁。特别是病毒攻击邻居导致大面积主机被病毒感染。另外就是互相sniffer,邮件口令和上网口令等面临
严重威胁。这些东西如果不解决,小区宽带网络不可能有安宁的日志。绝对是病毒成灾。因为多数用户根本知道如何清除病毒。甚至不知道已经中病毒。
于是有Private端口隔离功能的交换机应运而生,满足了以上要求。但是又产生了其它问题。。。
小区宽带网安全措施包括:
设置用户端口之间不能访问,广播都没有,用户只有收到来自上联端口的数据包(广播和发给自己的);
ICMP被禁止。跨路由器的网段之间也不能访问,路由器也阻止网段内IP之间路由。
可以用HTTP认证,也可以用Dr. Com客户端认证。HTTP虽然是明码,但由于以上的安全措施,无法欺骗交换机和Sniffer帐号。
一般小区宽带网络拓扑结构如下:
|
--------------------------
|计费路由器 |
| |
-------------------------
|
|---------------计费认证服务器
----------------------
|小区路由器 |
| |
----------------------
|
|
--------------------------
|用户交换机 |
| |
--------------------------
| | |
用户交换机可能有几个级联,才到楼道交换机。
认证过程:用IE连接计费认证服务器(HTTP);或者用Dr.Com客户端连接计费认证服务器。通过认证后计费服务器通知计费路由器允许来自用户的IP地址通过。
以前用户交换机上使用普通交换机时,没有端口隔离功能,任何连接网络的用户都可以欺骗交换机,然后sniffer到HTTP认证的帐号。现在有端口隔离功能了,不能sniffer了。但是还有其它突破措施。看下文。
计费(认证)路由器与用户之间隔着一个路由器。因此计费路由器不能按Mac地址进行认证(不能绑定用户Mac地址),只能按IP地址进行认证。
因此,非常明显,只要把IP地址改成已经通过认证的主机地址,即可上网。
但只能工作不到1分钟,往后就好像被拦截了。过了半分钟又自动正常了,只是感觉慢些。但是有好像不是被拦截。因为,只要把网卡disable然后马上enable,有可以正常几分钟。我在几个机器上都试过(包括笔记本和台式,不同网卡),结果都一样。应该可以排除是网卡的问题。
但又想不通为什么enable网卡后马上就可以了?如果是被拦截应该要拦截很长时间的啊。
我只知道我这边会不正常,不知道合法用户那边是否也和我一样。如果他和我一样,那就是导致DoS攻击了。
难道是用户交换机上判断出了用户IP地址重复?然后进行逻辑拦截。但是不是合法用户也被拦截呢?
通过试验,应该是被用户交换机拦截了。因为被拦截后连Telnet到小区交换机都不行了(未改IP前可以)。那就更奇怪了,因为用户交换机数量很大,也不太可能根据Mac地址和物理端口来判断谁是合法用户。而且被拦截期间仍然Sniffer到很多包,与之前似乎没区别。看来只是目标地址为自己的数据包被交换机或路由器拦截了。
另外,如果对网关路由器进行synflood,交换机是否会记住很多伪造的IP地址与Mac地址对应关系。尽管这样,也不能保证联网正常,还是时断时续。
对于直接连接用户PC的交换机是否可以设置成只记住一个IP和Mac对应(IP-Mac对应表只允许又1条),这样可以防止用户使用交换机连接ISP网络。这个不能确定。
如果把Mac地址也改成与合法用户的一样,那一个包也发不出。但可以接收,可以Sniffer,但并没有sniffer到合法用户的如何数据。这也是奇怪的。这可能是交换机的安全技术,我不太了解。
另外,如果合法用户也跟非法用户一样受影响的话,麻烦就大了。只要用synflood工具轰炸网关路由器,原地址定义为本网段内地址,那所有本网段内用户全部是上网时断时续,ISP的客服就惨啦。。。
总结,ISP使用了有Private VLAN技术的交换机(所有用户交换机)隔离所有用户。但用户交换机不能做到合法IP+Mac的认定,可以进行IP欺骗(一个网段2个主机IP相同)。上网时断时续可能是用户交换机的bug(从价格考虑,不太可能用Cisco交换机作为用户交换机)。恰好变成骚扰非法用户的武器。也可能是路由器搞的鬼――――它发现有2个Mac地址的IP,于是就拦截(但重新enable网卡后马上就可以用,就难以解释了)。
曾想,如果有个工具能够自动定期修改Mac地址,没准可以对付过去。可惜一直没有找到这样的工具。哪位知道能否提一下。
哪位比较了解交换机技术大牛解释一下以上现象。怎样才能用合法用户的IP正常上网?
这是一个未经登录的用户sniffer到数据,历时1分钟。(见附件)
可以看到:
有2各逻辑网段,一个是10.108.24.1/21,一个是10.52.80.1/21。(不知ISP什么目的)
我的地址是10.108.24.156,是自定义的。自动获取的话也是这个网段的。
10.108.24.1,10.52.80.1是网关
10.2.8.19是计费(登录)服务器
10.1.99.2应该是与计费服务器联动的计费路由器。
网关定期向网段内的IP地址广播ARP request,询问各IP的Mac地址,好像是以扫描的方式,但不是按顺序进行。2-3分钟一个轮回。一个网段有约2000个地址,这样的扫描应该很异常。不知道ISP是什么目的。
有一个地址10.108.24.2每分钟向网络广播10次左右的ARP reply,不断地向网络宣告自己的Mac,什么目的啊?
附件:http://blog.blogchina.com/upload/2004-11-16/20041116065603521533.txt