主题:校园网内的局域网攻击 -- norly
因为技术的发展是有局限性的.网络中心又能怎样?ARP防火墙又能怎样?
即便你的单机上装了无比强悍的防火墙软件,那么只要我在交换机上接出一条循环回路来,大家一起掉线,拆除回路线后我可以独享全部带宽N分钟.
绑定MAC地址到交换机端口?低端交换机没这功能.学校能给每个寝室的都配置这么好的交换机么?不能的话,就只能每寝室1个可上网端口,若要两台电脑轮流上网,就得轮流打电话找网络中心更新授权^_^
若真有烧包学校给每寝室N个绑定MAC的接入端口,照样可以冒名顶替.现在的网卡,使用RTL8139芯片的大约至少有50%以上.使用原厂的配置程序就可以轻松修改、更换MAC地址来冒充别人,甚至网关.
再说了,楼主本来就不厚道啊.百兆光纤到学校信息中心,所说的是可不是总流量能达到100M啊.一般情况下,学校会买个10M或20M的带宽的.就好比老式楼房顶层的水龙头一样.虽然水管象烟筒那么粗,但水压不高,所以出水量依然有限.你一个人占据了数百K的流量,其他人可用的就不多了.另外,若使用P2P软件来下载的话,大量的数据包会给路由器、交换机带来异常巨大的负荷啊……
也就是不去误认网关
而宿舍楼的交换机倒也不用绑定到端口
毕竟连到个单个房间的是一条线(没哪个学校能出手就是单人单线路吧)
能够单端口shutdown就行了
这样发出攻击的那个宿舍自然会反省的
这就要求校方网络部门要勤一些
当然,楼主那学校看来是没可能了
我们下载速度快的时候也是人比较少时,所以并不会对别人有什么特殊的影响,快的时候大家都快,慢的时候大家一起熬,凭什么你让别人下去给自己上?教育网的连接我也不是太懂,但是给我的感觉网速是非常快的,只要资源不错,上M的网速是可以轻易达到的,所以下载电影很快。
这几年国内的网络发展还是非常快的,不是以前那种细水长流了。连家用宽带都有3,4M了。一个大学,怎么可能还是20,30M呢?
北交大、北理工、北航、北邮、人大、清大(笑,这个是前几天回老家时我小侄子说的,说他长大了要上清大,我琢磨了半天才反应过来他说的是清华)、北大等等等等,均是如此。
而且现在MAC绑定功能的交换机的价格并不高,要真想,就冲这几年这学费噌噌的长,花点钱投到网络建设上,总比投到饭桌酒席小姐腰包里强。
PS:教育网内的带宽百兆真的不够玩,在学校时,仅计科的网络实验室就是教育网百兆光纤、电信十兆、网通十兆,国际专线两兆(绕过GFW),学校晨光BT上的很多源就是从网络实验室出来的...
做个小软件往他的IP地址发UDP数据包,也一秒钟上百次。做过类似服务器负荷测试软件,很简单的。
不过这不是好主意。还是让网管来解决比较好。还有少用p2p比较好,那个咚咚容易带病毒。
IP地址是在不断变化的,但是他的网关却无法欺骗,所以可以知道攻击源
我们公司的局域网,起初是构架在对等网的架构(因为要文件共享),病毒和攻击层出不穷,管理员疲于应付。后来我将其统一为AD域控,所有用户成为域用户,大部分应用采用C/S结构,情况就好多了。另外,内、外网之间加上ISA2004后,控制InterNet连接很有效。
arp欺骗可以是欺骗交换机、网关,这个你怎么防御呢?双向绑定?端口隔离?貌似你没有这个权限。
我能想到最好的办法,你能办到的——让你所有同局域网同学,全部安装arp防火墙。但我不记得是金山还是360那个arp防火墙有阻止单机乱发arp包的功能。
我个人意见,那个arp防火墙对于你这样的情况用处不大(对网吧特别有用)。通常按照卫融朋友的意见,绑定网关MAC就可以了。
是局域网内其它机器中毒。然后病毒软件就会试着
通过互联网向别的机器传。。然后原来越多中招,