假設我們有 DHCP 伺服器並提供 MAC 過濾系統。我們可以阻止下一個欺騙的 MAC 位址嗎?下一個設備將不會租用任何IP 位址。
或者通常它已經被 DHCP 伺服器阻止了?
提前致謝。
答案1
事情沒那麼簡單。可能需要輔助協議,但在大多數情況下,它需要持續的網路警戒。類似下面提到的內容。
https://infoexpress.com/content/practical/142
我看到的一個程式/腳本基本上查看/監視網路上的所有系統,並定期查找效能差異,以查看是否發生了奇怪的情況(例如資料包遺失)。 802.1x 等更現代的解決方案的工作方式也與我提到的方法大致相同,但也受到相同的限制。目標網路/系統上有足夠的背景情報,您就會遇到麻煩,這也是不久前必須更新的原因之一。這意味著您正在關注兩件事。有關原始系統和定期檢查的更多背景...
http://en.wikipedia.org/wiki/IEEE_802.1X http://en.wikipedia.org/wiki/IEEE_802.1X#Vulnerability_in_802.1X-2001_and_802.1X-2004
答案2
mac 身份驗證無法很好地工作的原因(根據我的經驗),是因為如果我是攻擊者,我會先向我想要欺騙的mac 用戶端發送一個解除身份驗證封包,然後我會使用不同的欺騙mac這樣做。路由器無法區分。然而,只要您使用 WPA 或 WPA2,並且擁有強大的密碼,攻擊者就很難破解您的金鑰,從而防止 dchp 租約發生。
Radius 伺服器確實可以與行動裝置搭配使用,並且與 wpa2 一起使用時是保護 wifi 網路安全的最佳方式。我相信它提供了帶有證書的雙重身份驗證方法。