設備: ip分享器-Port RouterOS 希望:(假設Client端本身有防護) a.不需要pppoe.也不需要去了解客戶mac b.至少做到Nat端不會被詐欺...的便宜手段 最近看到: (1)自動綁定ARP script http://www.wretch.cc/blog/kingofsdtw/16925472 //綁客戶端，也可以順便擋其他軟體 請問版上大哥們，這樣不會綁到假mac占用ip的嗎? 如果設定5分鐘更新一次，綁到假的mac，那原來真實user就連救的機會也沒... (2)防火牆擋掉Netcut封包 (看起來不錯用順便轉錄分享) http://www.wretch.cc/blog/kingofsdtw/16926146 :當防火牆規則越來越多時候，明明不相干的規則，竟然會使網路停擺， 但是防火牆系統沒出現.提示錯誤(分段測試找不到錯誤規則.不知道誰drop) (小弟剛上手亂貼大量防火牆...) [結果回饋]2011/06/01 沒經過switch.直接接在分享器port上 (2)感謝wst2080幫忙 經過測試後證實防火牆擋這些ip沒用，"NAT"端還是會被騙.更不用說client https://picasaweb.google.com/lh/photo/bpPOKZybYNmzmxnIhGHKug?feat=directlink (pc1攻擊者開啟netcut圖) https://picasaweb.google.com/lh/photo/LPc0JnghVTsBB_xBXkmP5w?feat=directlink (IP分享器找不到pc2，只有攻擊者可以連到pc2) *注意一點是當pc1登入pc2後可以正常上網，當pc1登出後pc2又不能上網 (3)感謝stpaul和大陸網友 static DHCP https://picasaweb.google.com/lh/photo/D2P8JqZaleG3JjtLFNQdHg?feat=directlink https://picasaweb.google.com/lh/photo/qYOi90paq-vL0Vj9XIpi7Q?feat=directlink 結果: https://picasaweb.google.com/lh/photo/fJgFUb2WHsfwokV65CdwZg?feat=directlink 改善方法: 只接受DHCP發放的IP 把interface只開啟 reply-only就不會接受ARP，但是會回復請求 *並且dhcp開啟"add arp for lease" -- 載點:http://0rz.tw/3LtYr **以下內容需推文才能觀看** 僅提供學術使用.禁止用於商業行為 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.8.250.251 ※ 編輯: kingofsdtw 來自: 124.8.250.251 (05/31 00:29) ※ 編輯: kingofsdtw 來自: 219.86.216.129 (06/02 22:49)