话说WAYOS中所谓利用IP VLAN来实现用户隔离的作用分析

IP VLAN

其实这个功能是懒虫向WAYOS建议的,就是可以自定义DHCP的掩码,然后填上255.255.255.255,这样这个用户就隔离在一个IP地址的网段里面,意思就是无法访问到别的机器,可以防止ARP,P2P攻击软件等。

对于这个话题,其实我一直不相信他可以防止ARP的,为什么呢?因为我深知ARP的原理,再者知道255.255.255.255是可以收到广播包的,问题懒虫一直说有效果。直至上次他在装路由,然后Ping 192.168.1.1的时候一直掉包,我就告诉他肯定是ARP,后面他就使用PPPOE,就不会掉包了。后面我也抓包分析,确实是盗号木马在发ARP包想盗取用户信息。下面我对这个问题给大家分析分析。

首先一点,这个IP VLAN是肯定不能防止ARP的,为什么呢?因为ARP一般使用广播,所以可以被穿透,这个就是上面我说的那个问题,那为什么P2P软件扫描不到用户呢?我告诉一下大家P2P软件的原理:P2P软件在启动的时候是要扫描网段的,这个时候他会给大家发送广播包(也有用Ping,如果用ping,就直接数据包出不去了),其实就是ARP包,这个时候如果有用户返回Reply的ARP数据包,这个时候P2P控制软件就把他列为在线列表。我要告诉大家的是,如果控制机用ARP广播,这个时候所有机器都是可以接收到广播包的,问题在于,当用户回复的时候,他不是以广播的形式的,他是直接以之前的包的源地址回复,这个时候就不是用广播的,管理机是收不到消息的,也就当成没有回复,就不在线,不在线了就当然没有控制该机器了。

所以IP VLAN是不能防止ARP的,但可以防止一些P2P控制软件。想防止ARP,只能使用PPPOE,抛弃ARP协议;想用户隔离,只能用真实的VLAN隔离。

大家在这上面有什么想法,可以直接和我联系QQ561454825。像那些盗号木马的软件,他也是一直在广播ARP包,告诉路由说,整个网段的IP都在某个MAC地址的机器上面,这样路由及其他的机器就会把数据包发给他,然后他进行分析,并得到密码等信息,然后再将包转发给原来的目标机器,用户却全然不知道啊

posted on 2011-04-21 11:23 ﹏.ミ塰の韵 阅读(...) 评论(...) 编辑 收藏

导航