主题：校园网内的局域网攻击 -- norly

因为技术的发展是有局限性的.网络中心又能怎样?ARP防火墙又能怎样?

即便你的单机上装了无比强悍的防火墙软件,那么只要我在交换机上接出一条循环回路来，大家一起掉线,拆除回路线后我可以独享全部带宽N分钟.

绑定MAC地址到交换机端口?低端交换机没这功能.学校能给每个寝室的都配置这么好的交换机么?不能的话，就只能每寝室1个可上网端口,若要两台电脑轮流上网,就得轮流打电话找网络中心更新授权^_^

若真有烧包学校给每寝室N个绑定MAC的接入端口，照样可以冒名顶替.现在的网卡，使用RTL8139芯片的大约至少有50%以上.使用原厂的配置程序就可以轻松修改、更换MAC地址来冒充别人，甚至网关.

再说了，楼主本来就不厚道啊.百兆光纤到学校信息中心，所说的是可不是总流量能达到100M啊.一般情况下，学校会买个10M或20M的带宽的.就好比老式楼房顶层的水龙头一样.虽然水管象烟筒那么粗，但水压不高，所以出水量依然有限.你一个人占据了数百K的流量，其他人可用的就不多了.另外，若使用P2P软件来下载的话，大量的数据包会给路由器、交换机带来异常巨大的负荷啊……

也就是不去误认网关

而宿舍楼的交换机倒也不用绑定到端口

毕竟连到个单个房间的是一条线（没哪个学校能出手就是单人单线路吧）

能够单端口shutdown就行了

这样发出攻击的那个宿舍自然会反省的

这就要求校方网络部门要勤一些

当然，楼主那学校看来是没可能了

我们下载速度快的时候也是人比较少时，所以并不会对别人有什么特殊的影响，快的时候大家都快，慢的时候大家一起熬，凭什么你让别人下去给自己上？教育网的连接我也不是太懂，但是给我的感觉网速是非常快的，只要资源不错，上M的网速是可以轻易达到的，所以下载电影很快。

这几年国内的网络发展还是非常快的，不是以前那种细水长流了。连家用宽带都有3，4M了。一个大学，怎么可能还是20，30M呢？

北交大、北理工、北航、北邮、人大、清大（笑，这个是前几天回老家时我小侄子说的，说他长大了要上清大，我琢磨了半天才反应过来他说的是清华）、北大等等等等，均是如此。

而且现在MAC绑定功能的交换机的价格并不高，要真想，就冲这几年这学费噌噌的长，花点钱投到网络建设上，总比投到饭桌酒席小姐腰包里强。

PS：教育网内的带宽百兆真的不够玩，在学校时，仅计科的网络实验室就是教育网百兆光纤、电信十兆、网通十兆，国际专线两兆（绕过GFW），学校晨光BT上的很多源就是从网络实验室出来的...

做个小软件往他的IP地址发UDP数据包，也一秒钟上百次。做过类似服务器负荷测试软件，很简单的。

不过这不是好主意。还是让网管来解决比较好。还有少用p2p比较好，那个咚咚容易带病毒。

IP地址是在不断变化的，但是他的网关却无法欺骗，所以可以知道攻击源

我们公司的局域网，起初是构架在对等网的架构（因为要文件共享），病毒和攻击层出不穷，管理员疲于应付。后来我将其统一为AD域控，所有用户成为域用户，大部分应用采用C/S结构，情况就好多了。另外，内、外网之间加上ISA2004后，控制InterNet连接很有效。

arp欺骗可以是欺骗交换机、网关，这个你怎么防御呢？双向绑定？端口隔离？貌似你没有这个权限。

我能想到最好的办法，你能办到的——让你所有同局域网同学，全部安装arp防火墙。但我不记得是金山还是360那个arp防火墙有阻止单机乱发arp包的功能。

我个人意见，那个arp防火墙对于你这样的情况用处不大（对网吧特别有用）。通常按照卫融朋友的意见，绑定网关MAC就可以了。

是局域网内其它机器中毒。然后病毒软件就会试着

通过互联网向别的机器传。。然后原来越多中招，