宽带网安全问题及免费上网方法设想_u1ooo的空间

宽带网安全问题及免费上网方法设想_u1ooo的空间_百度空间

对通过小区宽带网络上网的用户来说，病毒是{zd0}的威胁。特别是病毒攻击邻居导致大面积主机被病毒感染。另外就是互相sniffer，邮件口令和上网口令等面临

严重威胁。这些东西如果不解决，小区宽带网络不可能有安宁的日志。{jd1}是病毒成灾。因为多数用户根本知道如何xx病毒。甚至不知道已经中病毒。

于是有Private端口隔离功能的交换机应运而生，满足了以上要求。但是又产生了其它问题。。。

小区宽带网安全措施包括：

设置用户端口之间不能访问，广播都没有，用户只有收到来自上联端口的数据包（广播和发给自己的）；

ICMP被禁止。跨路由器的网段之间也不能访问，路由器也阻止网段内IP之间路由。

可以用HTTP认证，也可以用Dr. Com客户端认证。HTTP虽然是明码，但由于以上的安全措施，无法欺骗交换机和Sniffer帐号。

一般小区宽带网络拓扑结构如下：

|

--------------------------

|计费路由器 |

| |

-------------------------

|

|---------------计费认证服务器

----------------------

|小区路由器 |

| |

----------------------

|

|

--------------------------

|用户交换机 |

| |

--------------------------

| | |

用户交换机可能有几个级联，才到楼道交换机。

认证过程：用IE连接计费认证服务器（HTTP）；或者用Dr.Com客户端连接计费认证服务器。通过认证后计费服务器通知计费路由器允许来自用户的IP地址通过。

以前用户交换机上使用普通交换机时，没有端口隔离功能，任何连接网络的用户都可以欺骗交换机，然后sniffer到HTTP认证的帐号。现在有端口隔离功能了，不能sniffer了。但是还有其它突破措施。看下文。

计费（认证）路由器与用户之间隔着一个路由器。因此计费路由器不能按Mac地址进行认证（不能绑定用户Mac地址），只能按IP地址进行认证。

因此，非常明显，只要把IP地址改成已经通过认证的主机地址，即可上网。

但只能工作不到1分钟，往后就好像被拦截了。过了半分钟又自动正常了，只是感觉慢些。但是有好像不是被拦截。因为，只要把网卡disable然后马上enable，有可以正常几分钟。我在几个机器上都试过（包括笔记本和台式，不同网卡），结果都一样。应该可以排除是网卡的问题。

但又想不通为什么enable网卡后马上就可以了？如果是被拦截应该要拦截很长时间的啊。

我只知道我这边会不正常，不知道合法用户那边是否也和我一样。如果他和我一样，那就是导致DoS攻击了。

难道是用户交换机上判断出了用户IP地址重复？然后进行逻辑拦截。但是不是合法用户也被拦截呢？

通过试验，应该是被用户交换机拦截了。因为被拦截后连Telnet到小区交换机都不行了（未改IP前可以）。那就更奇怪了，因为用户交换机数量很大，也不太可能根据Mac地址和物理端口来判断谁是合法用户。而且被拦截期间仍然Sniffer到很多包，与之前似乎没区别。看来只是目标地址为自己的数据包被交换机或路由器拦截了。

另外，如果对网关路由器进行synflood，交换机是否会记住很多伪造的IP地址与Mac地址对应关系。尽管这样，也不能保证联网正常，还是时断时续。

对于直接连接用户PC的交换机是否可以设置成只记住一个IP和Mac对应（IP－Mac对应表只允许又1条），这样可以防止用户使用交换机连接ISP网络。这个不能确定。

如果把Mac地址也改成与合法用户的一样，那一个包也发不出。但可以接收，可以Sniffer，但并没有sniffer到合法用户的如何数据。这也是奇怪的。这可能是交换机的安全技术，我不太了解。

另外，如果合法用户也跟非法用户一样受影响的话，麻烦就大了。只要用synflood工具轰炸网关路由器，原地址定义为本网段内地址，那所有本网段内用户全部是上网时断时续，ISP的客服就惨啦。。。

总结，ISP使用了有Private VLAN技术的交换机（所有用户交换机）隔离所有用户。但用户交换机不能做到合法IP＋Mac的认定，可以进行IP欺骗（一个网段2个主机IP相同）。上网时断时续可能是用户交换机的bug（从价格考虑，不太可能用Cisco交换机作为用户交换机）。恰好变成骚扰非法用户的武器。也可能是路由器搞的鬼————它发现有2个Mac地址的IP，于是就拦截（但重新enable网卡后马上就可以用，就难以解释了）。

曾想，如果有个工具能够自动定期修改Mac地址，没准可以对付过去。可惜一直没有找到这样的工具。哪位知道能否提一下。

哪位比较了解交换机技术大牛解释一下以上现象。怎样才能用合法用户的IP正常上网？

－－－－－－－

这是一个未经登录的用户sniffer到数据，历时1分钟。

可以看到：

有2各逻辑网段，一个是10.108.24.1/21,一个是10.52.80.1/21。（不知ISP什么目的）

我的地址是10.108.24.156，是自定义的。自动获取的话也是这个网段的。

10.108.24.1，10.52.80.1是网关

10.2.8.19是计费（登录）服务器

10.1.99.2应该是与计费服务器联动的计费路由器。

网关定期向网段内的IP地址广播ARP request，询问各IP的Mac地址，好像是以扫描的方式，但不是按顺序进行。2－3分钟一个轮回。一个网段有约2000个地址，这样的扫描应该很异常。不知道ISP是什么目的。

有一个地址10.108.24.2每分钟向网络广播10次左右的ARP reply，不断地向网络宣告自己的Mac，什么目的啊？

郑重声明：资讯【宽带网安全问题及免费上网方法设想_u1ooo的空间_百度空间】由发布，版权归原作者及其所在单位，其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实，请读者仅作参考，并请自行核实相关内容。若本文有侵犯到您的版权，请你提供相关证明及申请并与我们联系（qiyeku # qq.com）或【在线投诉】，我们审核后将会尽快处理。

—— 相关资讯 ——