iKuai爱快流控路由

标题: MAC地址欺骗的问题 [打印本页]

作者: hyjhd 时间: 2013-12-3 14:05
标题: MAC地址欺骗的问题
最近遇到一个问题，在做无线时，无线AP基本都是不加密的，采用WEB认证的方式，当想蹭网的用户，用无线设备，如笔记本连接到我的无线AP，用探测软件，找到局域网内可以上网的机器的IP和MAC地址，然后修改本机的mac，以达到上网的目的，不知道爱快能否防止别人的探测或其它防止相同MAC和IP上网的措施。

作者: 十一 时间: 2013-12-3 15:25
改了mac和IP 这个爱快好像真防不了其他产品也应该防御不了吧

认真想了一下楼主说的这招好像真的有用 ”修改为已经认证的IP和mac，然后直接上网“

作者: hyjhd 时间: 2013-12-3 15:40

十一发表于 2013-12-3 15:25
改了mac和IP 这个爱快好像真防不了其他产品也应该防御不了吧

认真想了一下楼主说的这招好像真的有用 ...

这招，我自己就用过在公司的电脑上，现在自己在用爱快，前几天发现QQ列表里多了一个不认识的，还是用我的电脑的MAC登陆的，所以感觉有人盗用了自己的MAC。因为连接到无线AP时，他就连入了我的局域网，用P2P终结者就可以扫描出局域网内所有电脑的MAC和IP。

作者: hyjhd 时间: 2013-12-3 15:41
不知道坛子里有没有高手，指导一下。出了给AP加密外。

作者: lxf289 时间: 2013-12-3 17:10
本帖最后由 lxf289 于 2013-12-3 17:26 编辑

我想在路由端是可以控制的因为P2P终结者之类的软件，其接入网络的行为与其他用户不同，更多的时候是对内网用户的扫描，特别是MAC和IP地址的获取，路由可以根据这一行为特征，对短时间内频繁进行此类行为的用户列入黑名单。

作者: 3533155 时间: 2013-12-3 17:23
开PPPOE呗 WEB提示现在安卓手机系统自带都支持pppoe。

作者: hyjhd 时间: 2013-12-4 11:09
昨晚，实际操做了一遍，用一台未经验证的电脑，连接到无限AP，然后采用扫描软件，探测出内网正在上网的用户，然后将本机的MAC改成可以上网的MAC（这个包括已经WEB认证的和不需要认证的）。在点击IE，可绕过认证页面，直接连接Inte，但如果正常的主机在上网，蹭网的主机基本打不开网页，如果对方没上网，蹭网的主机可正常上网。
以上的实验对现在采用WEB认证方式的用户来说，是个危险。对于采用不同lan口来做无线的网吧来说，lan间可禁止互访，且不再同一个网段，可保证有线的主机不被扫描到，但无线网段只要有正常上网的主机，就可被仿制。

作者: 419788808 时间: 2013-12-4 11:21
那就别DHCP或者静态。
全部用PPPOE、即使AP连上也要PPPOE拨号。

作者: 419788808 时间: 2013-12-4 11:22

十一发表于 2013-12-3 15:25
改了mac和IP 这个爱快好像真防不了其他产品也应该防御不了吧

认真想了一下楼主说的这招好像真的有用 ...

那必须管用。。。如果爱快能做到三绑定（设备名、mac、ip）。那这个问题会减少一点。

作者: GFree_Wind 时间: 2013-12-4 11:44

419788808 发表于 2013-12-4 11:22
那必须管用。。。如果爱快能做到三绑定（设备名、mac、ip）。那这个问题会减少一点。 ...

设备名也可以修改成一样的啊

作者: 十一 时间: 2013-12-4 11:45

419788808 发表于 2013-12-4 11:22
那必须管用。。。如果爱快能做到三绑定（设备名、mac、ip）。那这个问题会减少一点。 ...

就我看来  这个是100%破解的其他厂家也会面临这个问题
但是会出现问题：两个设备相同mac 相同IP  如果有数据传输，路由向哪个设备发数据？或者都上不了网

另外：局域网数据传输不经过爱快的，爱快管不住，这个就像是局域网ARP攻击，网关无能为力一样

用PPPOE登录的话，可以但是这样就缺少了 web auth 的价值
设备名 mac IP 同时绑定感觉还OK

昨天看到帖子就咨询过开发了  数据在传输的过程中会有一个序号  也就是说，如果真心需要做检测的话，是可以做到的，但是这个需要发需求贴

作者: 419788808 时间: 2013-12-4 11:52
本帖最后由 419788808 于 2013-12-4 11:55 编辑

十一发表于 2013-12-4 11:45
就我看来这个是100%破解的其他厂家也会面临这个问题
但是会出现问题：两个设备相同mac 相同IP 如果 ...

我不需要这个，因为我相信很大多数人是不会去修改这些的，除非一些恶意的人为因素。

具体双绑，是都不能上网，还是都能上网，我也忘记了，貌似都可以上网。

记得以前干过一件事，把网吧一个机子的IP,和MAC改成和路由器一样的了，然后一开机，就全网断线。

应该是不能上了。除非其中一个断网。

不然路由不知道这个数据通过交换机转发给谁。乱套了。

作者: hyjhd 时间: 2013-12-4 11:53

十一发表于 2013-12-4 11:45
就我看来这个是100%破解的其他厂家也会面临这个问题
但是会出现问题：两个设备相同mac 相同IP 如果 ...

这回算说到根本了，市面的路由都防范不了这个，昨天我也百度了下，有一篇文章就讲到了数据的一个时间序号问题，不过不知道开发起来难度高不高

作者: 419788808 时间: 2013-12-4 11:55

十一发表于 2013-12-4 11:45
就我看来这个是100%破解的其他厂家也会面临这个问题
但是会出现问题：两个设备相同mac 相同IP 如果 ...

要不我现在在我这环境重现下。看看到底是怎么个。

作者: hyjhd 时间: 2013-12-4 12:01

419788808 发表于 2013-12-4 11:52
我不需要这个，因为我相信很大多数人是不会去修改这些的，除非一些恶意的人为因素。

具体双绑，是都不能 ...

arp绑定，mac访问控制绑定，静态地址分配，3个同时开启，已测试不能防御，只能是两台都在线时，有一台不能上网或都上网速度奇慢。在做无线覆盖时，无线安全很重要的，现在人都是高学历，很聪明的，百度一下，什么方法都有。建议先加入设备名的绑定，再来更高级的

作者: 419788808 时间: 2013-12-4 12:15
本帖最后由 419788808 于 2013-12-4 12:18 编辑

经测试，三同的电脑，第二台修改的MAC,IP,设备名，打开网址速度很慢，但是ping 外网有时候正常，有时候掉包，内网OK

作者: wabiho 时间: 2013-12-4 13:58
我觉得应该做成没认证前跟局域网其它的电脑应该是断开的。这样他还怎么能探测到其它的电脑哪个能上网？

作者: 十一 时间: 2013-12-4 14:00

hyjhd 发表于 2013-12-4 11:53
这回算说到根本了，市面的路由都防范不了这个，昨天我也百度了下，有一篇文章就讲到了数据的一个时间序号 ...

咨询过开发难度不是很大但是需要需求需求很高的话就应该会做（简单的防御）

作者: 419788808 时间: 2013-12-4 15:49

419788808 发表于 2013-12-4 11:22
那必须管用。。。如果爱快能做到三绑定（设备名、mac、ip）。那这个问题会减少一点。 ...

我知道哇。所以我说应该会少点。。

作者: filandcome 时间: 2013-12-5 01:02
这个是有需求的。。。建议还是尽早开发

作者: shui0924 时间: 2013-12-5 08:09

hyjhd 发表于 2013-12-4 12:01
arp绑定，mac访问控制绑定，静态地址分配，3个同时开启，已测试不能防御，只能是两台都在线时，有一台不 ...

这个问题目前应该基本不能解决，除非用pppoe

作者: 020580 时间: 2013-12-5 10:12
vlan隔离

作者: ietuufcu 时间: 2015-5-5 14:24
解决了吗？

作者: 流言随想 时间: 2015-5-5 14:42

hyjhd 发表于 2013-12-4 11:09
昨晚，实际操做了一遍，用一台未经验证的电脑，连接到无限AP，然后采用扫描软件，探测出内网正在上网的用户 ...

同理如果是没有上网的电脑,你如何扫到其MAC地址?

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)