原貼:http://blog.chinaunix.net/u1/47189/showart_396686.html
linux下防範arp欺騙攻擊
rurutiaposted @ 2023年04月23日 12:17am in
linux with tags
arp攻擊
前兩天家裡的網斷斷續續,發現有人在用arp欺騙,其實真正碰到有人在攻擊的機率不大,大部分原因都是有人在用win下的諸如「p2p終結者」這樣的軟體導致的。再怎麼bs那人也是沒有用的,問題還是要解決,win下倒是好辦,現成的軟體多的是 ,linux下面就要自己動手了^^。
假設閘道器的ip是192.168.0.1,我們要 先得到閘道器的正確mac,先ping一下閘道器:
ping 192.168.0.1然後執行arp檢視arp快取中的閘道器mac:
localhost~$ arp這裡得到的閘道器mac假定 為00:12:34:56:78:9a,c代表這個繫結是儲存在緩衝裡的,我們要做的就是把這個ip和 mac靜態的繫結在一起,首先建立/etc/ethers檔案,輸入以下內容:address hwtype hwaddress flags mask inte***ce
192.168.0.1 ether 00:12:34:56:78:9a c eth0
192.168.0.1 00:12:34:56:78:9a儲存退出,之後便是應 用這個靜態繫結:
localhost~$ arp -f再執行arp檢視:
localhost~$ arp多了個m,表示靜態閘道器 ,ok收工~address hwtype hwaddress flags mask inte***ce
192.168.0.1 ether 00:12:34:56:78:9a cm eth0
localhost~$ ifconfig eth0 -arp這樣對付那些終結者軟體就可以了,但是真的有人 向攻擊的話,這樣還是不夠的,因為攻擊者還可以欺騙閘道器,解決的辦法就是在閘道器和 區域網內機器上做雙向繫結,原理方法同上,一般網咖裡面也是這樣做的。
推薦投訴
本站網友
這種病毒危害非常大!即使你機器的安全性做得很好,可是沒辦法保證同網段的其它機器安全沒有問題!
解決辦法:在閘道器和本機上雙向繫結ip和mac位址,以防止arp欺騙。
二、約定
1、閘道器上已經對下面所帶的機器作了繫結。閘道器ip:192.168.1.1 mac:00:02:b3:38:08:62
2、要進行繫結的linux主機ip:192.168.1.2 mac:00:04:61:9a:8d:b2
三、繫結步驟
1、先使用arp和arp -a檢視一下當前arp快取列表
[root@ftpsvr ~]# arp
address hwtype hwaddress flags mask iface
192.168.1.234 ether 00:04:61:ae:11:2b c eth0
192.168.1.145 ether 00:13:20:e9:11:04 c eth0
192.168.1.1 ether 00:02:b3:38:08:62 c eth0
說明:address:主機的ip位址
hwtype:主機的硬體型別
hwaddress:主機的硬體位址
flags mask:記錄標誌,"c"表示arp快取記憶體中的條目,"m"表示靜態的arp條目。
[root@ftpsvr ~]# arp -a
? (192.168.1.234) at 00:04:61:ae:11:2b [ether] on eth0
? (192.168.1.1) at 00:16:76:22:23:86 [ether] on eth0
2、新建乙個靜態的mac-->ip對應表檔案:ip-mac,將要繫結的ip和mac地下寫入此檔案,格式為 ip mac。
[root@ftpsvr ~]# echo '192.168.1.1 00:02:b3:38:08:62 ' > /etc/ip-mac
[root@ftpsvr ~]# more /etc/ip-mac
192.168.1.1 00:02:b3:38:08:62
3、設定開機自動繫結
[root@ftpsvr ~]# echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local
4、手動執行一下繫結
[root@ftpsvr ~]# arp -f /etc/ip-mac
5、確認繫結是否成功
[root@ftpsvr ~]# arp
address hwtype hwaddress flags mask iface
192.168.0.205 ether 00:02:b3:a7:85:48 c eth0
192.168.1.234 ether 00:04:61:ae:11:2b c eth0
192.168.1.1 ether 00:02:b3:38:08:62 cm eth0
[root@ftpsvr ~]# arp -a
? (192.168.0.205) at 00:02:b3:a7:85:48 [ether] on eth0
? (192.168.1.234) at 00:04:61:ae:11:2b [ether] on eth0
? (192.168.1.1) at 00:02:b3:38:08:62 [ether] perm on eth0
從繫結前後的arp快取列表中,可以看到閘道器(192.168.1.1)的記錄標誌已經改變,說明繫結成功。
四、新增信任的windows主機(192.168.1.10)
1、linux主機(192.168.1.2)上操作
[root@ftpsvr ~]# echo '192.168.1.10 00:04:61:ae:09:14' >> /etc/ip-mac
[root@ftpsvr ~]# arp -f /etc/ip-mac
2、windows主機(192.168.1.10)上操作
1)清除arp快取
c:/documents and settings/administrator>arp -d
2)繫結linux主機的ip和mac位址
c:/documents and settings/administrator>arp -s 192.168.1.2 00-04-61-9a-8d-b2
你可以將上面2個步驟寫在乙個bat(批處理)檔案中,這樣做的好處是,今後如果要增加其它機器的繫結,只需維護這個檔案就可以了。例:
@echo off
arp -d
arp -s 192.168.1.2 00-04-61-9a-8d-b2
exit
注意:linux和widows上的mac位址格式不同。linux表示為:aa:aa:aa:aa:aa:aa,windows表示為:aa-aa-aa-aa-aa-aa
五、參考文獻
arp協議揭密:http://www.ibm.com/developerworks/cn/linux/l-arp/
ARP欺騙攻擊
中間人攻擊 arp毒化 heee 2012 07 30 共1962446人圍觀 發現 23 個不明物體 系統安全 感謝heee投遞 中間人攻擊雖然古老,但仍處於受到黑客攻擊的危險中,可能會嚴重導致危害伺服器和使用者。仍然有很多變種的中間人攻擊是有效的,它們能夠很容易的欺騙外行並且入侵他們。正如字面意...
ARP欺騙攻擊
由於區域網的網路流通不是根據ip位址進行,而是根據mac位址進行傳輸。所以,mac位址在a上被偽造成乙個不存在的mac位址,這樣就會導致網路不通,a不能ping通c 這就是乙個簡單的arp欺騙。假設乙個網路環境中,網內有三颱主機,分別為主機a b c。主機詳細資訊如下描述 a的位址為 ip 192....
arp欺騙攻擊
什麼是arp arp 位址解析協議 將ip位址轉換為mac位址 過程 arp欺騙原理 就像騙人一樣,分別欺騙主機a和主機b,讓兩者認為我就是對方 操作首先,找到目標ip與閘道器ip 在linux系統中使用ip route命令即可知道自己的ip以及閘道器位址 在kali中,nmap sp 網段可以掃瞄...