作者 主題: 阻擋搜索MAC  (閱讀 7753 次)

0 會員 與 1 訪客 正在閱讀本文。

史瑞克

  • 憂鬱的高中生
  • ***
  • 文章數: 130
  • 性別: 男
    • 檢視個人資料
    • 史瑞克
阻擋搜索MAC
« 於: 2010-04-07 22:18 »
我最近要當某大學宿舍的網管

從歷屆幹部流傳下來的經驗顯示出

每年固定會發生一次搶MAC流量的事件

學校的網路管理方法是一個IP綁一個MAC

每個IP都有固定上下傳流量

同學就是有辦法用軟體掃描同網域內電腦的MAC

然後就修改MAC盜用別人的流量

請問這種事情有沒有辦法防堵?
博學之,審問之,慎思之,明辨之,篤行之。 - 禮記中庸第三十一
我的噗浪:http://www.plurk.com/shrekwang/invite
我的Blog:http://shrekat.blogspot.com

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: 阻擋搜索MAC
« 回覆 #1 於: 2010-04-07 23:00 »
可以考慮:

1. 讓別人看不到 MAC - IP 對應: 可以全面改用 PPPoE 連線, 搭配帳號密碼鎖定.

2. 讓別人不能搶 IP : 搭配網路設備鎖定 port - MAC 對應.

3. 搭配其他資料如電腦名稱, 單一電腦名稱流量超過就斷線.

冷笑話: 我的 IP 是 127.0.0.1

anderson1127

  • 訪客
回覆: 阻擋搜索MAC
« 回覆 #2 於: 2010-04-07 23:41 »
不想實作PPPoE Server的話,就只剩下一個辦法了....

用support 802.1Q VLAN switch + lock MAC addr. && L3 Router/Switch 支援802.1Q Trunk

比如說,一台24 port L2 switch , 就切割23 個VLANs 每個VLAN id全部不重複, 剩一個port做Trunk port
連接到L3 Router/Switch , 然後在L3 Router/Switch上頭做802.1Q sub-interface , 全部的clinet PC
配發固定IP addr. , 不允許更改IP address , 否則不通!!

缺點是config起來很麻煩, 但是可以一勞永逸,徹底解決問題!!

史瑞克

  • 憂鬱的高中生
  • ***
  • 文章數: 130
  • 性別: 男
    • 檢視個人資料
    • 史瑞克
回覆: 阻擋搜索MAC
« 回覆 #3 於: 2010-04-08 14:00 »
謝謝各位大大的解答

看樣子解決方法對於小學校是一筆非常大的開銷...
博學之,審問之,慎思之,明辨之,篤行之。 - 禮記中庸第三十一
我的噗浪:http://www.plurk.com/shrekwang/invite
我的Blog:http://shrekat.blogspot.com

Luke Lin

  • 活潑的大學生
  • ***
  • 文章數: 244
  • 性別: 男
  • 家裡的少爺
    • 檢視個人資料
回覆: 阻擋搜索MAC
« 回覆 #4 於: 2010-04-08 16:50 »
不知有無Switch可以設成:以switch的Port綁PC MAC
只要改MAC,就不通…
當好人叫行善  當壞人叫造孽 當爛好人叫自做孽

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
回覆: 阻擋搜索MAC
« 回覆 #5 於: 2010-04-08 17:50 »
不知有無Switch可以設成:以switch的Port綁PC MAC
只要改MAC,就不通…

我猜...










...應該有的~~  :)

還聽說過要掃完毒、認證過身份才會通的呢~~ orz.........

anderson1127

  • 訪客
回覆: 阻擋搜索MAC
« 回覆 #6 於: 2010-04-08 18:31 »
不知有無Switch可以設成:以switch的Port綁PC MAC
只要改MAC,就不通…

這是網管型switch的基本功能 , 對於Cisco 3Com等廠牌來說,早就有的功能了...
國內的Zyxel / Dlink 等L2 switch 要指名網管型的L2 switch也都應該支援了吧?!
(沒有支援,請直接扔掉吧)

問題是,誰來設定這種吃力不討好的工作?! MAC address一個沒key好,眼睛會看得很吃力...
所以我才說 設定很麻煩

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
回覆: 阻擋搜索MAC
« 回覆 #7 於: 2010-04-08 19:56 »
一般學校公家機關都用 802.1x 認證做控管
可能應該比較經濟吧 ...
且無線上網已經是趨勢了
總要多考量個便利性


史瑞克

  • 憂鬱的高中生
  • ***
  • 文章數: 130
  • 性別: 男
    • 檢視個人資料
    • 史瑞克
回覆: 阻擋搜索MAC
« 回覆 #8 於: 2010-04-09 23:53 »
一般學校公家機關都用 802.1x 認證做控管
可能應該比較經濟吧 ...
且無線上網已經是趨勢了
總要多考量個便利性


不過學校無線上網的壞處就是還沒用到汰換規定年數就已經不穩定了
大量使用的情況下大約3.4年就差不多吧
現在規定滿5年才能汰換

話說敝校就有我這種在宿舍一次用兩台電腦的怪咖Orz
博學之,審問之,慎思之,明辨之,篤行之。 - 禮記中庸第三十一
我的噗浪:http://www.plurk.com/shrekwang/invite
我的Blog:http://shrekat.blogspot.com

anderson1127

  • 訪客
回覆: 阻擋搜索MAC
« 回覆 #9 於: 2010-04-10 10:41 »
不過學校無線上網的壞處就是還沒用到汰換規定年數就已經不穩定了
大量使用的情況下大約3.4年就差不多吧
現在規定滿5年才能汰換

話說敝校就有我這種在宿舍一次用兩台電腦的怪咖Orz

說實話,管理人員是關鍵... 很多機關學校都是有錢建置,沒錢維護!!
建置好之後就放著爛 , 所以才有你說的那種情形發生... 要怪誰?
校方? 學生?? 還是老師??  來吧,世足快舉行了,全校都來踢吧!!

還稱自己是怪咖, 又怎樣? 網管有好轉嗎?? 該做的事有做好嗎??

還不如自己趕快練功來做好網管工作 , 看要如何長進自己的網管功力
還比較來得實際!! 別耍寶了...

史瑞克

  • 憂鬱的高中生
  • ***
  • 文章數: 130
  • 性別: 男
    • 檢視個人資料
    • 史瑞克
回覆: 阻擋搜索MAC
« 回覆 #10 於: 2010-04-10 16:04 »
不過學校無線上網的壞處就是還沒用到汰換規定年數就已經不穩定了
大量使用的情況下大約3.4年就差不多吧
現在規定滿5年才能汰換

話說敝校就有我這種在宿舍一次用兩台電腦的怪咖Orz

說實話,管理人員是關鍵... 很多機關學校都是有錢建置,沒錢維護!!
建置好之後就放著爛 , 所以才有你說的那種情形發生... 要怪誰?
校方? 學生?? 還是老師??  來吧,世足快舉行了,全校都來踢吧!!

還稱自己是怪咖, 又怎樣? 網管有好轉嗎?? 該做的事有做好嗎??

還不如自己趕快練功來做好網管工作 , 看要如何長進自己的網管功力
還比較來得實際!! 別耍寶了...
感謝賜教

我只是個學生...
功夫不夠是事實

現在還在實習,今年9月才上任...
主要工作負責處裡宿舍網路故障和學生網路使用違規(改MAC盜用IP搶流量也是其中之一)

另外無線網路這個
老實說我經常跟校方反應超多次
人家不願意維護我們這些學生也沒辦法...

而且不管哪一家大學都一樣
只注重門面
砸錢建新大樓修門面
還是有很多硬體問題不願意解決...就說學校經費不夠草草帶過
門面達到學校才會好招生

等學生就讀後發現到事實不是如此
才會說 : 騙上賊船了...
博學之,審問之,慎思之,明辨之,篤行之。 - 禮記中庸第三十一
我的噗浪:http://www.plurk.com/shrekwang/invite
我的Blog:http://shrekat.blogspot.com

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
回覆: 阻擋搜索MAC
« 回覆 #11 於: 2010-04-10 18:44 »
NB 不是也大多插網路線嗎 ?
所以不是針對無線網路而言
而是不綁網路 port 仍能上網的彈性
而既然能有兩台電腦 , 為何不能有兩個帳號呢
但建設與維護都是問題

既然已經是該環境的 "老問題" 了
在沒有新的規劃方案前
只需照著舊步伐即可

差別只在於了解處理過程的每個步驟
將自己認為最麻煩的部分簡化 ..
例如 ..
若您討厭面對受害者 ... 那妳該建個舉報系統
若抓到兇手時不好意思去敲門 ... 那妳該在宿舍電話架個 IPPBX 來語音通知
... 當您卸任時 , 也不該強加下一位管理者遵循您的模式