打印

关于linux的网络管理（请教网络高人）

denghl

注册会员

Rank: 2

发短消息
加为好友
当前离线

1^# 大中小发表于 2006-10-13 01:02 只看该作者

关于linux的网络管理（请教网络高人）

先说一下网络环境：12台电脑和一个 adsl路由器共同连接在一个16口的交换机上，通过adsl路由器共享adsl宽带上网。网关10.0.0.3 我的IP10.0.0.10

问题一：win下的聚生网关，p2p终结者之类这样的软件只要运行在局域网中任何一台机器上，都可以监控整个局域网中每个电脑的流量，以及限制带宽，或者干脆断开指定电脑上网。不管我装win系统还是linux系统都会被这些软件管理。我的问题是linux下有没有类似这样的软件，能够以局域网中一台普通电脑的身份监控到局域网中其他机器的流量并可以对其进行限制？查了一些资料iptables和tc之类的只能是装linux的电脑做网关的时候才可以控制的吧？

问题二：win下不管装什么防火墙也不能防止聚生网关，p2p终结者的攻击。经过测试用arp －d 和arp －s绑定网关和本地IP 根本不起作用。一样会被聚声网管这类软件限制带宽。不过最近发现了一款Anti ARP Sniffer v3.5这个软件，一旦运行能彻底躲过聚生网管这类软件的控制，问题是linux下如何防御这种软件的攻击？这个软件可没有linux版本

TOP

gugong

公社版主

Rank: 10

发短消息
加为好友
当前离线

2^# 大中小发表于 2006-10-13 06:57 只看该作者

lz 也想做坏事了 ..........

高举马列主义毛泽东思想！！！

TOP

0xfffff

注册会员

Rank: 2

发短消息
加为好友
当前离线

3^# 大中小发表于 2006-10-13 07:50 只看该作者

简单的方法搞一台 linux有双网卡的机子做为路由器 ......用iptables做限制
arp 攻击可以让路由器每一个联网IP地址帮定一个硬件地址对mac地址做到IP和地址帮定的方法对与arp攻击只要拒绝指定arp包裹大小进行限制 ,你可以做一下攻击实验看看包裹大小和包裹结构对其做封闭
对与大量数据包攻击只有对攻击机器做软件限制可以用防火墙之类的东西

TOP

denghl

注册会员

Rank: 2

发短消息
加为好友
当前离线

4^# 大中小发表于 2006-10-13 09:04 只看该作者

拜托楼上，能不能看清先决条件啊

网络拓扑结构是不能变的，adsl宽待又不是在我家里，就算在我家我也不可能24小时开机给大家做路由吧。

TOP

denghl

注册会员

Rank: 2

发短消息
加为好友
当前离线

5^# 大中小发表于 2006-10-13 09:07 只看该作者

斑竹有没有办法啊，或者给个方向也行啊

TOP

0xfffff

注册会员

Rank: 2

发短消息
加为好友
当前离线

6^# 大中小发表于 2006-10-13 11:52 只看该作者

如果不对路由器作限制或者网络里有人恶搞,那么你就没有办法上网 ADSL的带宽太小没有办法同时供12台机器上网 ,250kb的速度不可能让你供那么多人上网

TOP

denghl

注册会员

Rank: 2

发短消息
加为好友
当前离线

7^# 大中小发表于 2006-10-13 14:18 只看该作者

就是有人饿搞才来请教的啊，其实win下的解决方法已经有了，但是linux下不懂。

TOP

0xfffff

注册会员

Rank: 2

发短消息
加为好友
当前离线

8^# 大中小发表于 2006-10-14 10:39 只看该作者

恶搞的话你记录他的ip和硬件地址用arp 把他踢了

TOP

denghl

注册会员

Rank: 2

发短消息
加为好友
当前离线

9^# 大中小发表于 2006-10-14 15:20 只看该作者

问题是我的机器又不是网关，我凭什么踢人啊。看清我的网络结构再做回复行么

TOP

aaaa

注册会员

Rank: 2

发短消息
加为好友
当前离线

10^# 大中小发表于 2006-10-31 11:33 只看该作者

就我以前测试的，XP才能用arp -s，2000下绑不了。

linux下应该没有这个问题。但还有网关呢？你不把网关也绑了，效果也不好的。

最后还有阻止其他机器获得你的IP和mac地址。

我想Linux的iptables应该都能够做到。只是我不知道具体命令怎么写。

TOP

aaaa

注册会员

Rank: 2

发短消息
加为好友
当前离线

11^# 大中小发表于 2006-10-31 11:37 只看该作者

哦。对了。这样一来你的机器也不能和其他局域网的机器通讯了。

也算一点副作用吧。

总结一下：
电脑和网关都绑定MAC，电脑对其他邻居完全隐藏自己的IP啊，MAC啊这些，就是完全不通讯。

我的交换机没有绑MAC的功能，那位大侠测试一下吧。

TOP

denghl

注册会员

Rank: 2

发短消息
加为好友
当前离线

12^# 大中小发表于 2006-10-31 14:55 只看该作者

我的问题是linux下有没有类似这样的软件，能够以局域网中一台普通电脑的身份监控到局域网中其他机器的流量并可以对其进行限制？查了一些资料iptables和tc之类的只能是装linux的电脑做网关的时候才可以控制的

TOP

小鸟学飞

新手上路

Rank: 1

发短消息
加为好友
当前离线

13^# 大中小发表于 2006-11-1 09:53 只看该作者

楼主遇到到的问题我也曾经郁闷过好长一段时间，
最简单的解决办法是冲进那个恶搞的人家里揍他一顿，或者直接把他的网线给拔了。
呵呵开个玩笑！！！！
-------------

----------------------------------------------
象网络执法官之类的东西一般都是平凡的向网关和PC狂发虚假的ARP报文，致使网关和PC都不能正确的获取MAC地址，从而实现别人都不能上网，只要你有个工具能将自己正确的ARP报文以比网络执法官还要高频率在内网广播出去，那么网络执法官就失效了！不过原理上最根本的办法还是在网关上做IP到MAC的硬性绑定最好了！
本人不会编程，要是哪位高人能写一个运用于Linux平台的工具就好了！若有的话一定通知本人哦！
不过本人觉得还有个原理上应该行得通的办法，在自己的机器上打开转发功能，然后用个工具将广播一个假的报文，报文中IP是网关的IP，而MAC是自己网卡的MAC，这样的话内网的任何机器在向网关发包时就都会先发到你自己的机器上，然后由你的机器转发给网关出去，这其实就是一个局域网监听的原理，虽然你只有一块网卡，但所有机器的发包都会先经过你，这样你就可以监视和控制每个人的流量了，要是有协议分析软件，连人家传输的数据你都可以截获，但不要作坏事哦！
这样的原理在WINDOWS上早就实现了，我只是研究了一下其中的原理，要是能有相应工具，我想在LINUX平台也是能够实现的吧！况且LINUX对TCP/IP的支持应该比WINDOWS还要优秀些啊！

本人只是探讨一下其中原理，若对于本楼主的贴没有意义请略过！！

TOP

denghl

注册会员

Rank: 2

发短消息
加为好友
当前离线

14^# 大中小发表于 2006-11-1 23:08 只看该作者

谢谢楼上
我的问题是linux下有没有类似这样的软件，能够以局域网中一台普通电脑的身份监控到局域网中其他机器的流量并可以对其进行限制？查了一些资料iptables和tc之类的只能是装linux的电脑做网关的时候才可以控制的，我要的不是这个，因为我的机子不是网关。

希望能有人回答一下

TOP