我给大家讲下ip地址和mac地址的捆绑。
可能有人问到:为什么要ip地址和mac地址捆绑,有什么好处。。。
在这由我来给大家简单的解释下,自我分析是这样的。
先说下arp的攻击,IP数据包常通过以太网发送,以太网设备并不识别32位IP地址
它们是以48位以太网地址传输以太网数据包的。IP驱动器必须把IP目的地址转换成以太网网目的地址。
这两种地址之间存在着某种静态的或算法的映射。。
现在arp开始工作了,请看
我在网络中发送一个数据包-------→IP数据包这个包在咱们LAN中开始广播了------→
一个含有IP和以LAN地址对的数据包作为应答。果有一个不被信任的节点对本地网络具有写访问许可权,
那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,
或者顺便对数据流进行简单的修改。如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。
这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己。。。。。
怎么样才能保证呢,ARP映射到固件上,也就说把ip和mac绑定在一起。并且具有自动抑制协议达到防止干扰的目的。。
本人用的是ros双线系统(网通6兆+电信4兆),工作环境100台电脑 策略路由
第一步
用winbox打开ros
ip→arp 这里看到前面都有个D 代表 动态没有绑定ip与mac
很多,我们可以一个一个绑定,但是很麻烦,我们用一个命令就把
他们都绑定。是不是很厉害。我这是中文的ros2.8.26 在远程终端来打命令:
:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]
在回去看看,ip→arp 这里面的D是不是不见了。这还没有完知道了绑定,但是不知道
解除绑定怎么行呢,在来到远程终端::foreach i in=[/ip arp find ] do=[/ip arp remove $i]
这个命令打进去,在去ip→arp看看,又是什么样的,嘿嘿。
接下来就是在interface里的lan下面选择reply-only这项就ok了
实验:大家绑定完之后,可以去下面机器任意修改ip,看看修改完之后能不能上去网。
好了先到这着吧。这就是我自己写的经验。。。 |
