如何防止用户扫描网络

如何防止用户扫描网络

在我的网络中,许多人伪造 mac 地址,他们通过扫描网络或 ip 地址范围来获取在线用户的 mac 地址,并使用 wireshark 轻松获取任何 mac 地址,那么如何防止用户扫描 ip 地址或如何隐藏我的网络客户的 ip 和 mac 地址?我认为在开放网络中防止 mac 伪造是不可能的,所以我只想防止坏人扫描 ip 地址并获取在线用户的 mac 地址。

注意:我的网络是开放网络,不需要安全密钥即可连接到网络,我不想将其更改为 WAP2 或任何其他东西。用户需要登录热点登录页面才能访问互联网(但坏人将他们的 mac 更改为已经登录的客户的 mac,他们就可以免费获得它)

网络细节(小):Mikrotic 路由器、Ubiquiti

答案1

在完全开放的 Wi-Fi 网络上,不可能阻止 MAC 地址欺骗攻击。不过,探测攻击:攻击者和 MAC 地址被伪造的受害者都会在使用网络时遇到麻烦,因为每台计算机都会为对方发起的连接发送 TCP 重置。因此,MAC 地址被克隆的人开始遇到神秘的“互联网问题”,要么致电技术支持,要么放弃并稍后重试。后者正是攻击者想要的,因为这样他就可以自由使用网络,一旦对方离开。

再次强调,你无法在开放网络上阻止这种攻击,尽管你可以尝试通过让合法用户每半小时左右重新登录一次来限制它,但这对合法用户来说非常不方便,而对攻击者来说却没有太大的不便,攻击者只需等待合法用户再次登录,或者克隆其他人的 MAC 地址即可。所以这是不切实际的。


搭建付费Wi-Fi网络,我采用的是双网络设计:

  • 一个 SSID 是一个开放网络,可以仅有的连接到(安全的)网络服务器,用户可以在其中创建新帐户并进行付款。
  • 另一个 SSID 采用 WPA2-Enterprise 保护,用户使用自己选择的用户名和密码登录该网络即可访问互联网。

这需要一台 RADIUS 服务器,设置起来并不太难,而且设计完全可以防止人们嗅探网络。还可以将 RADIUS 服务器配置为一次只允许一台设备使用任何给定的帐户凭据,从而阻止帐户共享。在 WPA2-Enterprise 网络上,所有内容都经过加密,攻击者无法解密其他用户的任何内容,而如果攻击者知道共享密码,他就可以像使用 WPA2-Personal 一样解密。而在开放网络上,只能访问一个 https 网站,该网站也无法被嗅探,MAC 欺骗在该网络上毫无意义。

这种设计的唯一缺点是,对于运行 Windows 7 或更早版本操作系统的旧计算机,它需要提前进行一次性配置,但这只需一分钟即可完成。

相关内容