双向绑定是否真的安全？

只是一个神话 · 发表于 2007-9-18 01:19:36

现在很多人来对付ARP病毒用双绑，本人也比较支持双绑。但是大家都知道MAC地址是可以修改的，方法有很多种，也是比较容易的。大家有兴趣可以网上查一下，那就出现一个问题。假设有两个用户。A的IP地址是：192.168.1.2 MAC：AAAAAAAAAAAA。B的IP地址是：192.168.1.3 MAC：BBBBBBBBBBBB。两台机器都和网关做了双绑。现在把B的IP跟MAC都改成A的，会有什么结果呢？

我测试的环境是主机加了一台虚拟机，两台电脑之前是以模拟HUB的形式连接的，也导致我的测试得不到更好的效果，所以大家有条件的话可以在真机上一试，当然，前提得是交换环境下的。

出现的现象是没有提示IP冲突，意料之中，但是上网的时候只有一台能上，另一台不能上，但是PING都能PING通DNS解析一切正常，两台机器都可以。后来我把一台电脑关了，只有一台的情况下上CSNA，并抓包，很正常。然后同时打开两台电脑，再上CSNA（不能上的那台上上CSNA）并在两台机器上都抓包。然后跟正常情况下的数据包一对比，有一个很明显的错误，就是在DNS解析后出现了一个目标端口不可达。但是奇怪的是除了目标端口不可达的一条信息外，其它一切正常，三次握手，然后发送GET请求。。。

因为我的是HUB环境，所以这个结论是站不住脚的。因为我在两台机器上抓到的数据包都是一样的，如果交换环境下，是不是会不一样呢？我也不知道，我明天就要去学校了，学校的机房是不会让人这么弄的，公司的网络又是HUB的。所以希望方便的朋友帮我试一下。试的时候最好把数据包抓下来。万分感谢！

另外希望大家都提一点看法，哪怕是异想天开的！

中间一部分设了隐藏，是想让大家发表自己的观点后对照我的测试结果，看看有什么不同之处。

[ 本帖最后由只是一个神话于 2007-10-28 18:24 编辑 ]

longyufei · 发表于 2007-9-18 09:06:04

支持一下！支持一下！支持一下！支持一下！

qzyuanmu · 发表于 2007-9-18 09:10:35

支持一下，看下有什么惊喜，美女？

wwwang · 发表于 2007-9-18 09:37:39

原帖由 只是一个神话 于 2007-9-18 01:19 发表
现在很多人来对付ARP病毒用双绑，本人也比较支持双绑。但是大家都知道MAC地址是可以修改的，方法有很多种，也是比较容易的。大家有兴趣可以网上查一下，那就出现一个问题。假设有两个用户。A的IP地址是：192.16 ...

楼主说的不全面,所谓"双绑"不只是客户端,交换机端也要,试想你修改了MAC地址,除非你也用他的网线,不然还是不可以的.(双绑的前提是:"连接到终端的交换机支持MAC地址绑定")

xv0813 · 发表于 2007-9-18 09:38:48

我真得很想看看呵呵

xm526225 · 发表于 2007-9-18 10:08:15

原帖由 只是一个神话 于 2007-9-18 01:19 发表
现在很多人来对付ARP病毒用双绑，本人也比较支持双绑。但是大家都知道MAC地址是可以修改的，方法有很多种，也是比较容易的。大家有兴趣可以网上查一下，那就出现一个问题。假设有两个用户。A的IP地址是：192.16 ...

双绑指的是用户pc和交换机同时榜定mac，而不是单机绑定吧？
汗，原来已经有人回了……就是楼上版主那意思

[ 本帖最后由 xm526225 于 2007-9-18 10:09 编辑 ]

blankhack · 发表于 2007-9-18 13:12:36

这段时间也在研究这个``效果怎么样,

snper · 发表于 2007-9-18 13:27:37

要来看看,希望不会失望

dzc1224 · 发表于 2007-9-19 11:47:42

我的也双邦还算是有眯用吧

菜鸟人飞 · 发表于 2007-9-19 14:38:13

看一下神话兄的大作。

tttt · 发表于 2007-9-19 17:35:54

哈哈。mac-ip绑定只是能够预防有其他电脑通过修改ip或mac其中之一来冒充的问题。
而楼主的双冒充（修改ip和mac都同时修改），这个绑定对此问题是预防不了的。

tttt · 发表于 2007-9-19 17:41:37

楼主的实验，我以前在学校宿舍机房里，学校是在网关或者交换机上绑定了有缴费的电脑的ip和mac。
可是我没有钱交啊，但我也想上网，所以也曾利用同时修改自己电脑的ip和mac冒充别人的电脑的ip和mac。
这样，结果是，2台电脑都可以上网，有时候其中1台上不了网，有时候2台都上不了网。
但是，特点是，能上网的时候，速度很慢，常有停顿的感觉。也试过死机。。

唉，想省点上网费用，只能靠这样冒充别人的ip和mac，蹭点网络用一下咯。。

cwym29 · 发表于 2007-9-20 13:18:44

楼上兄弟所言及是。
如果同时进行了更改，那么网关设备上的判定条件会通过，肯定可以上网。
但由于两台机器都会去争取，所以会出现慢，或断网的情况。

只是一个神话 · 发表于 2007-9-20 14:12:34

WWWANG兄说的对,只不过我所说的双绑是基于MAC,而你说的是端口+MAC(出现这个修改MAC当然是无用的).我所要讨论的是仅绑MAC,这样绑在什么样的环境下会出现什么样的状况?

就像我实验中的,有一台机器能上网,有一台上不了网.但是在打开GOOGLE的时候能打开一半,本来是想从数据包中分析一下的,怎奈虚拟机和真机是基于HUB原理连接的,所以抓到的数据无效.等我回家了吧在我实验中抓到的数据传上来给大家看一下.

其实我主要是想知道,在出现这种情况后,PC机上层的交换机是如何决定来和这两台有相同IP和MAC的机器通信的,它们之间的通信取决于什么?网络的质量还是其它什么.

ValorZ · 发表于 2007-9-21 09:33:24

A发起连接访问Google,tcp syn,然后google返回tcp syn ack,这时A和B同时收到这个syn ack,,A回答是ack,B回答就是dst unreachable,所以就要看google那边先收到A的回答,还是B的回答.
至于ping正常,是因为ping是icmp,无连接的,只要收到echo reply就算ping通...

只是一个神话 · 发表于 2007-9-21 17:10:34

原帖由 ValorZ 于 2007-9-21 09:33 发表
A发起连接访问Google,tcp syn,然后google返回tcp syn ack,这时A和B同时收到这个syn ack,,A回答是ack,B回答就是dst unreachable,所以就要看google那边先收到A的回答,还是B的回答.
至于ping正常,是因为ping是icmp,无连 ...

非常赞同这个说法，V版有数据包没？我很想要一个这样的数据包。

weiqh · 发表于 2007-9-22 18:55:24

支持一下！支持一下！支持一下！支持一下

百乐 · 发表于 2007-9-22 19:14:11

学习学习...

s1860 · 发表于 2007-9-23 21:52:25

学习下了~~~也想知道啊

deeplycool · 发表于 2007-9-24 11:37:12

如果在三层上把MAC邦成静态的下面如果机子改了MAC就不能通过了！！！

红盟过客 · 发表于 2007-9-24 12:31:11

支持一下，看下有什么惊喜，美女？

scan浩 · 发表于 2007-9-24 20:06:51

学习中.....~!

hudeg632 · 发表于 2007-9-25 00:06:15

祝贺你,又升版主了,请多多关照哈

walkcn · 发表于 2007-9-25 17:54:46

双绑再加上交换机端口绑定就绝对安全了

sky110 · 发表于 2007-9-27 11:18:55

进来，学习以哈兹

55902000 · 发表于 2007-9-29 19:11:24

112133
13

huamao2006 · 发表于 2007-9-30 13:11:42

顶一下啊。谢谢楼主。

战略高手网吧 · 发表于 2007-10-3 14:58:29

双绑难道只是绑了一个MAC？IP没有绑？ B的IP难道也跟A的一样？/？？？

可能会这样吗？

roxhaiy · 发表于 2007-10-3 17:09:22

不能说绝对安全，但已经足够高了

只是一个神话 · 发表于 2007-10-4 10:34:03

原帖由 战略高手网吧 于 2007-10-3 14:58 发表
双绑难道只是绑了一个MAC？IP没有绑？ B的IP难道也跟A的一样？/？？？

可能会这样吗？

我们经常所说的绑定就是MAC和IP绑定，只绑MAC的说法我还是第一次听说，如果B的IP不跟A的一样，还有讨论的意义吗？

出现这种情况很容易，只要计算机帐户具有修改IP跟MAC的权限就能搞定。

双向绑定是否真的安全？

评分

楼主说的不够全面

````学习学习

顶一下

不错啊