分享
 
 
 

小区宽带网安全问题及免费上网方法设想

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

对通过小区宽带网络上网的用户来说,病毒是最大的威胁。特别是病毒攻击邻居导致大面积主机被病毒感染。另外就是互相sniffer,邮件口令和上网口令等面临

严重威胁。这些东西如果不解决,小区宽带网络不可能有安宁的日志。绝对是病毒成灾。因为多数用户根本知道如何清除病毒。甚至不知道已经中病毒。

于是有Private端口隔离功能的交换机应运而生,满足了以上要求。但是又产生了其它问题。。。

小区宽带网安全措施包括:

设置用户端口之间不能访问,广播都没有,用户只有收到来自上联端口的数据包(广播和发给自己的);

ICMP被禁止。跨路由器的网段之间也不能访问,路由器也阻止网段内IP之间路由。

可以用HTTP认证,也可以用Dr. Com客户端认证。HTTP虽然是明码,但由于以上的安全措施,无法欺骗交换机和Sniffer帐号。

一般小区宽带网络拓扑结构如下:

|

--------------------------

|计费路由器 |

| |

-------------------------

|

|---------------计费认证服务器

----------------------

|小区路由器 |

| |

----------------------

|

|

--------------------------

|用户交换机 |

| |

--------------------------

| | |

用户交换机可能有几个级联,才到楼道交换机。

认证过程:用IE连接计费认证服务器(HTTP);或者用Dr.Com客户端连接计费认证服务器。通过认证后计费服务器通知计费路由器允许来自用户的IP地址通过。

以前用户交换机上使用普通交换机时,没有端口隔离功能,任何连接网络的用户都可以欺骗交换机,然后sniffer到HTTP认证的帐号。现在有端口隔离功能了,不能sniffer了。但是还有其它突破措施。看下文。

计费(认证)路由器与用户之间隔着一个路由器。因此计费路由器不能按Mac地址进行认证(不能绑定用户Mac地址),只能按IP地址进行认证。

因此,非常明显,只要把IP地址改成已经通过认证的主机地址,即可上网。

但只能工作不到1分钟,往后就好像被拦截了。过了半分钟又自动正常了,只是感觉慢些。但是有好像不是被拦截。因为,只要把网卡disable然后马上enable,有可以正常几分钟。我在几个机器上都试过(包括笔记本和台式,不同网卡),结果都一样。应该可以排除是网卡的问题。

但又想不通为什么enable网卡后马上就可以了?如果是被拦截应该要拦截很长时间的啊。

我只知道我这边会不正常,不知道合法用户那边是否也和我一样。如果他和我一样,那就是导致DoS攻击了。

难道是用户交换机上判断出了用户IP地址重复?然后进行逻辑拦截。但是不是合法用户也被拦截呢?

通过试验,应该是被用户交换机拦截了。因为被拦截后连Telnet到小区交换机都不行了(未改IP前可以)。那就更奇怪了,因为用户交换机数量很大,也不太可能根据Mac地址和物理端口来判断谁是合法用户。而且被拦截期间仍然Sniffer到很多包,与之前似乎没区别。看来只是目标地址为自己的数据包被交换机或路由器拦截了。

另外,如果对网关路由器进行synflood,交换机是否会记住很多伪造的IP地址与Mac地址对应关系。尽管这样,也不能保证联网正常,还是时断时续。

对于直接连接用户PC的交换机是否可以设置成只记住一个IP和Mac对应(IP-Mac对应表只允许又1条),这样可以防止用户使用交换机连接ISP网络。这个不能确定。

如果把Mac地址也改成与合法用户的一样,那一个包也发不出。但可以接收,可以Sniffer,但并没有sniffer到合法用户的如何数据。这也是奇怪的。这可能是交换机的安全技术,我不太了解。

另外,如果合法用户也跟非法用户一样受影响的话,麻烦就大了。只要用synflood工具轰炸网关路由器,原地址定义为本网段内地址,那所有本网段内用户全部是上网时断时续,ISP的客服就惨啦。。。

总结,ISP使用了有Private VLAN技术的交换机(所有用户交换机)隔离所有用户。但用户交换机不能做到合法IP+Mac的认定,可以进行IP欺骗(一个网段2个主机IP相同)。上网时断时续可能是用户交换机的bug(从价格考虑,不太可能用Cisco交换机作为用户交换机)。恰好变成骚扰非法用户的武器。也可能是路由器搞的鬼――――它发现有2个Mac地址的IP,于是就拦截(但重新enable网卡后马上就可以用,就难以解释了)。

曾想,如果有个工具能够自动定期修改Mac地址,没准可以对付过去。可惜一直没有找到这样的工具。哪位知道能否提一下。

哪位比较了解交换机技术大牛解释一下以上现象。怎样才能用合法用户的IP正常上网?

这是一个未经登录的用户sniffer到数据,历时1分钟。(见附件)

可以看到:

有2各逻辑网段,一个是10.108.24.1/21,一个是10.52.80.1/21。(不知ISP什么目的)

我的地址是10.108.24.156,是自定义的。自动获取的话也是这个网段的。

10.108.24.1,10.52.80.1是网关

10.2.8.19是计费(登录)服务器

10.1.99.2应该是与计费服务器联动的计费路由器。

网关定期向网段内的IP地址广播ARP request,询问各IP的Mac地址,好像是以扫描的方式,但不是按顺序进行。2-3分钟一个轮回。一个网段有约2000个地址,这样的扫描应该很异常。不知道ISP是什么目的。

有一个地址10.108.24.2每分钟向网络广播10次左右的ARP reply,不断地向网络宣告自己的Mac,什么目的啊?

附件:http://blog.blogchina.com/upload/2004-11-16/20041116065603521533.txt

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有