作為一個年輕的網管
今天在幫其他人排障的程序中學到了更改網卡mac地址然后再重新上網。。
大概程序是:有個人發現無法登陸外網網頁,經測驗發現獲取地址正常,網卡功能正常(內網網頁能打開),到外網的tracert中到防火墻就攔截了。
然后想到應該該用戶上了某防火墻默認禁止的網頁或者應用觸發了防火墻的封禁
(但是有點也很奇怪,防火墻都是默認配置,基本沒有做任何策略禁止,不過有一臺外掛旁路模式的AC行為管理器倒是做了非法網頁及應用的禁止策略)
大致拓撲是 出口--防火墻--核心交換機(旁路外掛了一臺Ac做審計)
然后同事中的老司機就叫更改了該終端的網卡的mac地址,手動分配了一個地址就可以順利上網了(原來都是dhcp獲取)
話說我做了網路相關好幾年了。。。。還真不知道可以通過改網卡mac地址來重新通過AC/AF的審查。。。。這樣的話 只要會改網卡地址 那不是可以無限次地去試探AC/AF審查機制。。。這算不算是一個漏洞呢。。我發現那個地址亂改都可以 比如我們改了一個 001122334455的地址,只要手動分配同網段的地址 就能正常上網。。汗~~
以前只知道某些封禁是直接封終端硬體mac地址的,比如steam上面的ban就是直接ban你電腦的主板mac地址,雖然主板mac地址也可以通過某種技術途徑重新寫入,不過貌似非常麻煩。。。
歡迎各位大神一起探討下。。。AC/AF都是深信服的,也不算太老,都是這幾年的產品
uj5u.com熱心網友回復:
這也正常啊,很多設備都是通過限制mac來限制流量,改mac可以實作繞過限制。原來思科有命令可以禁止一個埠學到多個mac轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/9049.html
標籤:網絡維護與管理
上一篇:voip培訓技術資料下載