话说WAYOS中所谓利用IP VLAN来实现用户隔离的作用分析

IP VLAN

其实这个功能是懒虫向WAYOS建议的，就是可以自定义DHCP的掩码，然后填上255.255.255.255，这样这个用户就隔离在一个IP地址的网段里面，意思就是无法访问到别的机器，可以防止ARP,P2P攻击软件等。

对于这个话题，其实我一直不相信他可以防止ARP的，为什么呢？因为我深知ARP的原理，再者知道255.255.255.255是可以收到广播包的，问题懒虫一直说有效果。直至上次他在装路由，然后Ping 192.168.1.1的时候一直掉包，我就告诉他肯定是ARP，后面他就使用PPPOE，就不会掉包了。后面我也抓包分析，确实是盗号木马在发ARP包想盗取用户信息。下面我对这个问题给大家分析分析。

首先一点，这个IP VLAN是肯定不能防止ARP的，为什么呢？因为ARP一般使用广播，所以可以被穿透，这个就是上面我说的那个问题，那为什么P2P软件扫描不到用户呢？我告诉一下大家P2P软件的原理：P2P软件在启动的时候是要扫描网段的，这个时候他会给大家发送广播包（也有用Ping，如果用ping，就直接数据包出不去了），其实就是ARP包，这个时候如果有用户返回Reply的ARP数据包，这个时候P2P控制软件就把他列为在线列表。我要告诉大家的是，如果控制机用ARP广播，这个时候所有机器都是可以接收到广播包的，问题在于，当用户回复的时候，他不是以广播的形式的，他是直接以之前的包的源地址回复，这个时候就不是用广播的，管理机是收不到消息的，也就当成没有回复，就不在线，不在线了就当然没有控制该机器了。

所以IP VLAN是不能防止ARP的，但可以防止一些P2P控制软件。想防止ARP，只能使用PPPOE，抛弃ARP协议；想用户隔离，只能用真实的VLAN隔离。

大家在这上面有什么想法，可以直接和我联系QQ561454825。像那些盗号木马的软件，他也是一直在广播ARP包，告诉路由说，整个网段的IP都在某个MAC地址的机器上面，这样路由及其他的机器就会把数据包发给他，然后他进行分析，并得到密码等信息，然后再将包转发给原来的目标机器，用户却全然不知道啊