如何防止 MAC 地址欺骗

如何防止 MAC 地址欺骗

我在 Ubuntu 上配置了一个 DHCP 服务器,并为特定的 Mac 配置了一个固定的 IP 地址,如下所示:

host client1 {
  hardware ethernet E0:69:95:73:2C:66;
  fixed-address 192.168.0.10;
}

如果有人将自己的 Mac 更改为E0:69:95:73:2C:66,他们将获得 192.168.0.10 IP,现在两台 PC 会同时在同一个 IP 上使用互联网。我该如何防止这种未经授权的访问?

答案1

如果您的交换机支持,您可以使用 LAN 身份验证802.1X

答案2

您需要一个具有 802.1x 的交换机(如前所述)或允许您将特定 MAC 分配给端口的交换机。您还可以使用 VPN 来最大限度地减少欺骗的后果,尽管非法用户无法访问资源,但两个用户都会失去连接,流量不会自动进行身份验证。

答案3

这是不可能的。它们可能都使用相同的 MAC 地址(通过 MAC 欺骗)。但它们不会同时连接互联网。首先,会有 IP 地址冲突。其次,交换机无法正确转发流量,因为 MAC 地址会在多个端口上注册。第三,即使交换机确实正常工作,流量也充其量也只是不稳定,因为两台计算机都会响应相关 MAC 地址的 ARP 请求。

相关内容