问题请教:关于PPPOE和ARP地址欺骗病毒之间的关系??

huahuadou

各位老大:
我碰到一个单位的网络(很简单的网络,电信公司过来一根上网的光缆,
用了一个路由设备当NAT,然后下面挂了一些二层交换机,每个用户的
电脑配上一个内部IP地址,就可以上互连网)
,该网络管理很薄弱,里面有几台电脑中了ARP病毒,因为维护人员技术能力很差,
找不到是哪几台电脑中了病毒,现在网络基本上是时通时断,大部分时间不通.

电信公司提了个方案,是在入口的地方增加PPPOE功能的支持,每个电脑装上PPPOE拨号软件,
拨号上网,说是就可以隔离ARP攻击了.
我的问题是:这样真的能隔离ARP攻击吗?
内网的IP还是存在的,ARP就不再内网捣乱了吗?
用了PPPOE,那这个内网就没有啥功能了吧,因为配上IP,就可能有病毒.

[ 本帖最后由 huahuadou 于 2008-12-1 10:11 编辑 ]

royallin

pppoe是点对点，加ID标示的。
如果路由没有PPPOE功能的话，可以找到有PPPOE的固件刷路由，或者用台废旧电脑装个ROS，或者海蜘蛛之类的路由。海蜘蛛的比较简单，而且是中文的，免费版好像支持45个PPPPE拨号。

huahuadou

感谢答复.
现在电信公司提供的上网接入时,光缆端口即支持IP地址也支持PPPOE,
该单位原来只用IP地址+NAT功能上网.

我的感觉是,用户都用PPPOE拨到电信公司的宽带接入服务器上去上网,但是
内网的ARP好象并不能控制住吧,毕竟内网地址还存在.

pootnet

采用pppoe~~相当于去掉arp采用pppoe协议了，就不存在arp欺骗了。

55902000

但是存在问题有可能冒充PPPOE服务器,和DHCP服务差不多一样.

xtkt

你可以簡單思考下PPPOE撥號的過程，它是通過虛擬一個網卡?磉M行internet訪問的，但是它需要一塊認證的網卡作�?墊。
你的想法是正確的，ARP病毒是一種?V播型的病毒，會在局域網上進行傳播，但是由於路由器不轉發?V播包，所以它不會影響到互聯網，但只要局域網還在使用就一定還會存在ARP病毒，但是每台電腦都進行撥號上網的話應該不會影響到單機訪問互聯網。
建議你安裝ARP防火�?或是技術人員不太懂的話就都重裝系統，呵呵。深度的GHOST號稱8分鐘安裝。

oldjiang

科来抓ARP不难，在论坛搜索ARP，有很多帖子

wastebaby

原帖由 oldjiang 于 2008-12-3 10:12 发表
科来抓ARP不难，在论坛搜索ARP，有很多帖子

如果ARP病毒很多的话，端口镜象都不用，直接找台电脑装上科来抓包就能看出来了。

xiaoshazi

原帖由 wastebaby 于 2008-12-6 12:12 发表

如果ARP病毒很多的话，端口镜象都不用，直接找台电脑装上科来抓包就能看出来了。

呵呵还有更简单的，先arp -d 过几分钟arp -a查看arp缓存表。arp病毒都是狂发arp 应答。确定有问题的mac后剩下的就是确定这个mac是哪个电脑的

xiaoshazi

pppoe是ppp over ethernet的所有，大概的意思就是在以太网上使用ppp（点对点）协议。因为pppoe协议不需要arp协议确定ip和mac的对应关系，所以没有arp攻击的存在。但是现在有针对pppoe攻击的病毒，例如魔波。做好主机的防病毒还是很重要的

xweiw

用科来抓包，一下子就可以查处ARP的根源啦，还搞什么拨号，这样很麻烦啊，做网络管理简单化最好啦。如果你不会用科来，教你一个贼简单的方法，呵呵，首先你要记住每台电脑和做NAT的那台路由器的MAC地址，然后arp -a一下，网关对应的那个MAC地址多半就是欺骗地址的电脑了。你的电脑数不多，这样应该很容易解决吧？祝早日解决问题。