RT。和别人合租,这几天晚上发现路由器动不动死机,后来查了下,发现有人开局域网里的限速软件,用的ARP欺骗的方式。如图:
现在的情况是:
1. 我有路由器管理权限,他们都没有(我买的路由,路由器管理页面和我的机子MAC绑定了)
2. 开了路由器的访客网络,但是用限速软件的人是直接有线连的路由,好像没啥用。
3. 用的TPLINK的低端路由,TL-WR842N
我查了下发现大部分防止ARP攻击的都是需要局域网内的机子设置静态IP然后路由器关DHCP的,但是这样的沟通成本很大,而且不方便,所以想问下
1
582033 2015-07-04 22:22:21 +08:00 via Android
上门
|
2
kn007 2015-07-04 22:23:17 +08:00
恩哼哼。。。嘘~
在公司我有对设备的管理权,对于那些开arp限速别人的,我只给他10k的带宽,心情好再解除。。。 |
3
TakanashiAzusa OP @582033 这种事说了也不会承认。。不想弄得太僵。
|
4
TakanashiAzusa OP @kn007 虽然限速了,但是ARP攻击本身还在吧?还是会影响整个网络。。
|
5
processzzp 2015-07-04 22:31:30 +08:00 via Android 1
360有个ARP防火墙,基本原理就是比谁发ARP包快,但是低端路由有可能被直接搞死
不想用360的话COMODO的防火墙应该也行,我在家里用Android的zANTI试图劫持PC的流量(用的就是ARP的方式)一直不能成功。 不过既然是合租,何必小偷小摸搞这些把戏,把话挑明了,拿出个大家能接受的方案,谈不拢就正面肛,肛不赢收拾行李赶快跑Σ( ° △ °) |
6
kn007 2015-07-04 22:36:25 +08:00 1
@TakanashiAzusa 额,忘记说了。。。在路由器上给补上静态arp了。
|
7
TakanashiAzusa OP @processzzp 其实合租也好几个人,我也不知道是谁干的,加上平时跟他们完全没交流,不想这么搞。。我先试下你说的这几个方案吧。
|
8
yeyeye 2015-07-04 22:44:59 +08:00
ARP绑定不是路由器上设置一下就行了,是2边都要设置的,也就是说你要在本机绑定路由器的mac和ip 在路由器上绑定你的ip
|
9
yeyeye 2015-07-04 22:45:46 +08:00
如果是无线路由器并且采用无线连接的话直接开启ARP隔离
|
10
sdysj 2015-07-04 22:46:53 +08:00
路由刷OpenWRT,添加静态arp,找出发包者,直接arpspoof弄死。。。
|
11
TakanashiAzusa OP @kn007 静态路由表是根据MAC地址来分配指定的IP么?不需要本机设置静态IP吧。。
|
12
TakanashiAzusa OP @yeyeye 也就是说路由器上即使设置了绑定了MAC和ip,如果本机不静态IP的话也是没什么意义的对么?我以为路由器会根据MAC自动分配给的IP,本机即使动态也无所谓了。。
|
13
sdysj 2015-07-04 22:49:49 +08:00
或者划设vlan一劳永逸。。。
|
14
kn007 2015-07-04 22:50:30 +08:00
@TakanashiAzusa 是的,路由根据MAC锁定IP
|
15
kn007 2015-07-04 22:51:35 +08:00
@TakanashiAzusa 对方是自动的,路由绑定arp,以后那个人就相当于静态了。
对方是手动的,我暂时没遇到过。 |
16
Septembers 2015-07-04 22:53:49 +08:00 via Android 1
1. 刷上Gargoyle(这个QoS效果好
2. 静态DHCP分配 3. MAC绑定 4. 如果还有问题 给那几位房主前面再套个路由 彻底隔离开 |
17
Septembers 2015-07-04 22:55:22 +08:00 via Android
@sdysj 每位用户一个最小子网
ARP能玩但是什么做不了真是极致 |
18
TakanashiAzusa OP @kn007 哦哦,原来如此。谢啦。
|
19
TakanashiAzusa OP @Septembers @sdysj 查了下好像是路由器比较低端,openwrt肯定是刷不了了。。VLAN划分也没找到地方。。大概现在能做的只能是全部机子静态DHCP分配了。
|
20
yeyeye 2015-07-04 22:56:59 +08:00 2
@kn007 dhcp设置分配固定IP 设置绑定ARP 然后电脑绑定路由器的MAC 这就是ARP双绑定
arp的原理就是基于互相信任 你可以说自己是任何人 一开始没考虑那么多 所以产生了漏洞 所以对方的软件可以欺骗路由器 也可以欺骗你 所以要双绑定。 至于软件持续发送的垃圾包 那就无解了 除非做端口隔离。这就要看你的路由器有没有那么好 或者网管型交换机 |
21
Septembers 2015-07-04 22:58:55 +08:00 via Android 1
@TakanashiAzusa 刚刚查了下
你那路由似乎Gargoyle支持 |
22
Dreista 2015-07-04 22:59:40 +08:00 via Android
要花钱但是相对方便的方法:悄悄地接一个二级路由,然后限速。
|
25
TakanashiAzusa OP @Dreista 限速我其实现在也可以直接限速啊。但是没什么意义。垃圾包太多路由器直接死机。。ping都ping不通那种。。
|
26
TakanashiAzusa OP @yeyeye 感谢科普
|
27
TakanashiAzusa OP @Septembers 多谢。。过两天空了就先装一个试试看。
|
28
sixdian 2015-07-04 23:30:35 +08:00 via Android 1
把所有内网主机ip与mac绑定,dhcp开启,重启路由,这样所有主机ip会被重新分配,不需要任何沟通,谁上不了网会找你,然后让他设置自动获取IP。最后,无线设置里面开启ap隔离保证内网用户数据安全;访问目标里面新建三条规则,端口53,协议udp丶端口80,协议全部丶端口443协议全部,主机列表里建两个条目把你自己的ip段和其他用户的ip段区分开来,控制规则里面新建一个条目写上你自己的ip段保存。再新建三个条目,端口和协议分别为53-udp,80-全部,443-全部,ip段均填其他用户的ip段,保存,再重启。这样以来:一,arp攻击失效了。二,无线网络共享功能失效了。三,其他用户无法p2下载了,可以专心的高速浏览网页了。
|
29
emric 2015-07-04 23:43:19 +08:00
TP-link 路由器带有 "IP与MAC绑定", 绑定一下就好.
|
30
c0878 2015-07-04 23:48:42 +08:00
发现有人开就直接拔网线
然后说是限速软件把路由搞死了 开了大家就都别玩了 |
31
TakanashiAzusa OP @sixdian 这个限制的也太狠了- -
|
33
sixdian 2015-07-04 23:58:28 +08:00 via Android
@TakanashiAzusa 不狠,我就这么干的,而且除我之外还对其他用户还加了ip带宽控制,上行512下行1024,主要是用我网没收他们钱
|
34
rwzsycwan 2015-07-05 00:24:55 +08:00
@TakanashiAzusa http://wiki.openwrt.org/toh/tp-link/tl-wr842nd openwrt支持情况 还可以刷dd-wrt
|
35
zztemp 2015-07-05 14:38:58 +08:00 1
路由器绑定IP与MAC,客户端不绑定的话也会被arp攻击的。廉价的解决方案是用带PPPoE服务的路由器,给客户端分配PPPoE账号,让他们拨号接入。
|
36
zado 2015-07-05 17:27:21 +08:00
买个最便宜的有线路由器,让搞破坏的那个人单独用一个路由器。
|
37
zado 2015-07-05 17:31:00 +08:00
最好还是买无线的,淘宝包邮费也才40多块钱。以后也还用得着。
|
38
Karblue 2015-07-06 10:17:27 +08:00
把DHCP服务里面绑MAC设置成静态的。然后路由ARP MAC 绑定 , 然后设置带宽就可以了啊
|