局域网内代理上网问题？急~~~~

ybcomboy · 发表于 2009-3-5 16:28:59

公司采用代理上网静态地址，指定了只有一部门计算机能够上网，并绑定了上网计算机的MAC地址。但最近出现了有人通过更改为其他上网用户的MAC地址欺骗代理，也能上网。现在用什么软件能够分析出同一个MAC地址有几台主机使用吗？？科来好象看不到，有知道的朋友请告知下小弟，谢了~~~

oldjiang · 发表于 2009-3-5 16:43:13

如果只改了mac没有改ip，抓包或mac地址扫描可以发现
防止改mac的办法是：在接入交换机，启用端口安全功能，绑定mac地址
“并绑定了上网计算机的MAC地址”，是怎么做的呢？

ybcomboy · 发表于 2009-3-5 16:49:58

相当于在一个局域网内，有2台或更多的计算机使用同一静态IP和同一MAC地址上网（当然设置为同一IP时会提示IP冲突，但是同样能上网）。绑定MAC只是在代理上通过ARP命令实现的绑定！现在就想看能通过什么方法查找出局域网内有那些IP地址有2台以上的计算机在使用？

oldjiang · 发表于 2009-3-5 16:55:21

IP和mac都相同，不能同时上网吧？

Se7en · 发表于 2009-3-5 17:02:05

ip和mac相同能同时上网，装上360就OK了。
可以看一下ip包的序列号，因为初始序列号是随机的，然后不停的+1的，如果是两台计算机用相同的ip和mac，这个数不可能相同，同一时间发送的数据包的初始序列号相差很大。仔细看看就看出来了。当然如果两台刚好差不多，再替你想办法。

[ 本帖最后由 Se7en 于 2009-3-5 17:14 编辑 ]

oldjiang · 发表于 2009-3-5 19:14:42

用mac地址扫描器，扫描的同时抓包，对一个请求有多次应答的就是

oldjiang · 发表于 2009-3-5 19:19:09

在交换机的环境下，其mac地址表不断变动，本来应该给机器A的包很可能发给了机器B，这样上网会有点卡吧。应该有比较多的SACK包，这是否也是一个办法？SACK参考：
http://www.csna.cn/forum.php?mod ... &highlight=sack
http://www.csna.cn/forum.php?mod ... &highlight=sack

oldjiang · 发表于 2009-3-5 19:30:30

“ip包的序列号”应该指的是ip标志，确实是递增的

oldjiang · 发表于 2009-3-5 21:42:50

你的环境能正确部署科来吗？比如交换机支持端口镜像，或者代理服务器是windows的
如果能，我可以做一个sack过滤器试一试

royallin · 发表于 2009-3-5 22:55:40

设置PPPOE，指定账号

Se7en · 发表于 2009-3-6 09:34:25

原帖由 oldjiang 于 2009-3-5 19:30 发表
“ip包的序列号”应该指的是ip标志，确实是递增的

我可能没表达清楚，我说的是ip包中TCP的ISN，他是每4ms+1，是一个32位的计时器；你说的应该是ip包头中的标识字段，他是每发送一份报文就+1的，是一个16位的计数器。
好像都行。

oldjiang · 发表于 2009-3-6 10:03:49

同一个机器的初始序列号差别也很大的
打开CSNA论坛，过滤出同步包如图

Se7en · 发表于 2009-3-6 12:26:20

看了一下书，RFC的ISN算法是+1，但是各个系统厂商为了防止ISN攻击，都设计了自己的ISN算法。看来这条路走不通了。

局域网内代理上网问题？急~~~~

回复 3# 的帖子

评分

回复 5# 的帖子

回复 5# 的帖子

浏览过的版块