-3 ip mac-address
在我的网络中,许多人欺骗 mac 地址,他们通过扫描网络或 ip 地址范围并使用 Wireshark 来获取在线用户的 mac 地址,他们可以轻松获取任何 mac 地址,因此如何防止用户扫描 ip 地址或如何隐藏我的网络客户的 ip 和 mac 地址?我认为在开放网络中防止 mac 欺骗是不可能的,所以我只想防止坏人扫描 ip 地址并获取在线用户的 mac 地址。
注意:我的网络是开放网络,不需要安全密钥即可连接到网络,我不想将其更改为 WAP2 或任何其他内容。用户需要登录热点登录页面才能访问互联网(但坏人将那里的 mac 更改为已经登录客户的 mac 并免费获得)
网络细节(小):Mikrotic 路由器、Ubiquiti
在完全开放的 Wi-Fi 网络上阻止 MAC 欺骗攻击是不可能的。但是,检测攻击相对容易:攻击者和 MAC 地址被欺骗的受害者都将无法使用网络,因为每台计算机都会为另一台计算机发起的连接发送 TCP 重置。因此,MAC 地址被克隆的人开始遇到神秘的“互联网问题”,要么致电技术支持,要么放弃,稍后再试。后者是攻击者想要的,因为一旦另一个人离开,他就可以自由地使用网络。
同样,您无法在开放网络上阻止这种攻击,虽然您可以通过让合法用户每半小时左右重新登录来尝试限制它,但这对合法用户来说是一个很大的不便,对攻击者来说并没有太大的不便,他们可以等待合法用户再次登录,或者去克隆别人的MAC地址。所以这是不实用的。
我已经设置了付费 Wi-Fi 网络,并且我使用了两个网络设计:
这需要一个 RADIUS 服务器,设置起来并不难,而且该设计完全防止人们嗅探网络。RADIUS 服务器还可以配置为一次仅允许一台设备使用任何给定的帐户凭据,这会阻止帐户共享。在 WPA2-Enterprise 网络上,一切都是加密的,攻击者无法从其他用户那里解密任何东西,如果他知道共享密码,他就可以使用 WPA2-Personal 解密。而在开放网络上,只能访问一个 https 网站,也无法嗅探,MAC 欺骗在该网络上毫无意义。
这种设计的唯一缺点是,它需要为运行 Windows 7 或更早版本操作系统的旧计算机预先进行一次性配置,但这只需一分钟即可完成。
| 归档时间: |
|
| 查看次数: |
2661 次 |
| 最近记录: |