V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
TakanashiAzusa
V2EX  ›  问与答

路由器开启 DHCP 的情况下有办法防止 ARP 攻击么

  •  
  •   TakanashiAzusa · 2015-07-04 22:13:12 +08:00 · 5290 次点击
    这是一个创建于 3407 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RT。和别人合租,这几天晚上发现路由器动不动死机,后来查了下,发现有人开局域网里的限速软件,用的ARP欺骗的方式。如图:
    arp

    现在的情况是:
    1. 我有路由器管理权限,他们都没有(我买的路由,路由器管理页面和我的机子MAC绑定了)
    2. 开了路由器的访客网络,但是用限速软件的人是直接有线连的路由,好像没啥用。
    3. 用的TPLINK的低端路由,TL-WR842N

    我查了下发现大部分防止ARP攻击的都是需要局域网内的机子设置静态IP然后路由器关DHCP的,但是这样的沟通成本很大,而且不方便,所以想问下

    有没有在PC获取动态IP,路由器开着DHCP的情况下防止ARP攻击的办法?(再不济能让部分机子不被影响也可以。我已经把我的机子在路由器里设置IP和mac绑定了,但是好像还是有影响)

    38 条回复    2015-07-06 10:17:27 +08:00
    582033
        1
    582033  
       2015-07-04 22:22:21 +08:00 via Android
    上门
    kn007
        2
    kn007  
       2015-07-04 22:23:17 +08:00
    恩哼哼。。。嘘~

    在公司我有对设备的管理权,对于那些开arp限速别人的,我只给他10k的带宽,心情好再解除。。。
    TakanashiAzusa
        3
    TakanashiAzusa  
    OP
       2015-07-04 22:26:00 +08:00
    @582033 这种事说了也不会承认。。不想弄得太僵。
    TakanashiAzusa
        4
    TakanashiAzusa  
    OP
       2015-07-04 22:26:24 +08:00
    @kn007 虽然限速了,但是ARP攻击本身还在吧?还是会影响整个网络。。
    processzzp
        5
    processzzp  
       2015-07-04 22:31:30 +08:00 via Android   ❤️ 1
    360有个ARP防火墙,基本原理就是比谁发ARP包快,但是低端路由有可能被直接搞死

    不想用360的话COMODO的防火墙应该也行,我在家里用Android的zANTI试图劫持PC的流量(用的就是ARP的方式)一直不能成功。

    不过既然是合租,何必小偷小摸搞这些把戏,把话挑明了,拿出个大家能接受的方案,谈不拢就正面肛,肛不赢收拾行李赶快跑Σ( ° △ °)
    kn007
        6
    kn007  
       2015-07-04 22:36:25 +08:00   ❤️ 1
    @TakanashiAzusa 额,忘记说了。。。在路由器上给补上静态arp了。
    TakanashiAzusa
        7
    TakanashiAzusa  
    OP
       2015-07-04 22:44:08 +08:00
    @processzzp 其实合租也好几个人,我也不知道是谁干的,加上平时跟他们完全没交流,不想这么搞。。我先试下你说的这几个方案吧。
    yeyeye
        8
    yeyeye  
       2015-07-04 22:44:59 +08:00
    ARP绑定不是路由器上设置一下就行了,是2边都要设置的,也就是说你要在本机绑定路由器的mac和ip 在路由器上绑定你的ip
    yeyeye
        9
    yeyeye  
       2015-07-04 22:45:46 +08:00
    如果是无线路由器并且采用无线连接的话直接开启ARP隔离
    sdysj
        10
    sdysj  
       2015-07-04 22:46:53 +08:00
    路由刷OpenWRT,添加静态arp,找出发包者,直接arpspoof弄死。。。
    TakanashiAzusa
        11
    TakanashiAzusa  
    OP
       2015-07-04 22:47:36 +08:00
    @kn007 静态路由表是根据MAC地址来分配指定的IP么?不需要本机设置静态IP吧。。
    TakanashiAzusa
        12
    TakanashiAzusa  
    OP
       2015-07-04 22:49:28 +08:00
    @yeyeye 也就是说路由器上即使设置了绑定了MAC和ip,如果本机不静态IP的话也是没什么意义的对么?我以为路由器会根据MAC自动分配给的IP,本机即使动态也无所谓了。。
    sdysj
        13
    sdysj  
       2015-07-04 22:49:49 +08:00
    或者划设vlan一劳永逸。。。
    kn007
        14
    kn007  
       2015-07-04 22:50:30 +08:00
    @TakanashiAzusa 是的,路由根据MAC锁定IP
    kn007
        15
    kn007  
       2015-07-04 22:51:35 +08:00
    @TakanashiAzusa 对方是自动的,路由绑定arp,以后那个人就相当于静态了。
    对方是手动的,我暂时没遇到过。
    Septembers
        16
    Septembers  
       2015-07-04 22:53:49 +08:00 via Android   ❤️ 1
    1. 刷上Gargoyle(这个QoS效果好
    2. 静态DHCP分配
    3. MAC绑定
    4. 如果还有问题 给那几位房主前面再套个路由 彻底隔离开
    Septembers
        17
    Septembers  
       2015-07-04 22:55:22 +08:00 via Android
    @sdysj 每位用户一个最小子网
    ARP能玩但是什么做不了真是极致
    TakanashiAzusa
        18
    TakanashiAzusa  
    OP
       2015-07-04 22:55:39 +08:00
    @kn007 哦哦,原来如此。谢啦。
    TakanashiAzusa
        19
    TakanashiAzusa  
    OP
       2015-07-04 22:56:53 +08:00
    @Septembers @sdysj 查了下好像是路由器比较低端,openwrt肯定是刷不了了。。VLAN划分也没找到地方。。大概现在能做的只能是全部机子静态DHCP分配了。
    yeyeye
        20
    yeyeye  
       2015-07-04 22:56:59 +08:00   ❤️ 2
    @kn007 dhcp设置分配固定IP 设置绑定ARP 然后电脑绑定路由器的MAC 这就是ARP双绑定

    arp的原理就是基于互相信任 你可以说自己是任何人 一开始没考虑那么多 所以产生了漏洞

    所以对方的软件可以欺骗路由器 也可以欺骗你 所以要双绑定。

    至于软件持续发送的垃圾包 那就无解了

    除非做端口隔离。这就要看你的路由器有没有那么好 或者网管型交换机
    Septembers
        21
    Septembers  
       2015-07-04 22:58:55 +08:00 via Android   ❤️ 1
    @TakanashiAzusa 刚刚查了下
    你那路由似乎Gargoyle支持
    Dreista
        22
    Dreista  
       2015-07-04 22:59:40 +08:00 via Android
    要花钱但是相对方便的方法:悄悄地接一个二级路由,然后限速。
    kn007
        23
    kn007  
       2015-07-04 23:01:06 +08:00
    @yeyeye 了解了。
    哈,以前没了解的这么细。
    kn007
        24
    kn007  
       2015-07-04 23:01:14 +08:00
    @yeyeye 谢谢
    TakanashiAzusa
        25
    TakanashiAzusa  
    OP
       2015-07-04 23:02:22 +08:00
    @Dreista 限速我其实现在也可以直接限速啊。但是没什么意义。垃圾包太多路由器直接死机。。ping都ping不通那种。。
    TakanashiAzusa
        26
    TakanashiAzusa  
    OP
       2015-07-04 23:04:36 +08:00
    @yeyeye 感谢科普
    TakanashiAzusa
        27
    TakanashiAzusa  
    OP
       2015-07-04 23:04:59 +08:00
    @Septembers 多谢。。过两天空了就先装一个试试看。
    sixdian
        28
    sixdian  
       2015-07-04 23:30:35 +08:00 via Android   ❤️ 1
    把所有内网主机ip与mac绑定,dhcp开启,重启路由,这样所有主机ip会被重新分配,不需要任何沟通,谁上不了网会找你,然后让他设置自动获取IP。最后,无线设置里面开启ap隔离保证内网用户数据安全;访问目标里面新建三条规则,端口53,协议udp丶端口80,协议全部丶端口443协议全部,主机列表里建两个条目把你自己的ip段和其他用户的ip段区分开来,控制规则里面新建一个条目写上你自己的ip段保存。再新建三个条目,端口和协议分别为53-udp,80-全部,443-全部,ip段均填其他用户的ip段,保存,再重启。这样以来:一,arp攻击失效了。二,无线网络共享功能失效了。三,其他用户无法p2下载了,可以专心的高速浏览网页了。
    emric
        29
    emric  
       2015-07-04 23:43:19 +08:00
    TP-link 路由器带有 "IP与MAC绑定", 绑定一下就好.
    c0878
        30
    c0878  
       2015-07-04 23:48:42 +08:00
    发现有人开就直接拔网线
    然后说是限速软件把路由搞死了 开了大家就都别玩了
    TakanashiAzusa
        31
    TakanashiAzusa  
    OP
       2015-07-04 23:51:55 +08:00
    @sixdian 这个限制的也太狠了- -
    zhjits
        32
    zhjits  
       2015-07-04 23:52:21 +08:00
    @yeyeye 是 AP 隔离
    我觉得吧这情况再买个路由器开启 AP 隔离让他们连去,你用你的主路由就好。
    sixdian
        33
    sixdian  
       2015-07-04 23:58:28 +08:00 via Android
    @TakanashiAzusa 不狠,我就这么干的,而且除我之外还对其他用户还加了ip带宽控制,上行512下行1024,主要是用我网没收他们钱
    rwzsycwan
        34
    rwzsycwan  
       2015-07-05 00:24:55 +08:00
    @TakanashiAzusa http://wiki.openwrt.org/toh/tp-link/tl-wr842nd openwrt支持情况 还可以刷dd-wrt
    zztemp
        35
    zztemp  
       2015-07-05 14:38:58 +08:00   ❤️ 1
    路由器绑定IP与MAC,客户端不绑定的话也会被arp攻击的。廉价的解决方案是用带PPPoE服务的路由器,给客户端分配PPPoE账号,让他们拨号接入。
    zado
        36
    zado  
       2015-07-05 17:27:21 +08:00
    买个最便宜的有线路由器,让搞破坏的那个人单独用一个路由器。
    zado
        37
    zado  
       2015-07-05 17:31:00 +08:00
    最好还是买无线的,淘宝包邮费也才40多块钱。以后也还用得着。
    Karblue
        38
    Karblue  
       2015-07-06 10:17:27 +08:00
    把DHCP服务里面绑MAC设置成静态的。然后路由ARP MAC 绑定 , 然后设置带宽就可以了啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2776 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 12:18 · PVG 20:18 · LAX 05:18 · JFK 08:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.