linux下防范arp欺骗攻击

原贴:http://blog.chinaunix.net/u1/47189/showart_396686.html

linux下防范arp欺骗攻击

linux下防范arp欺骗攻击 rurutia posted @ 2007年04月23日 12:17AM in linux with tags arp 攻击 Gentoo下体验Xgl 前两天家里的网断断续续，发现有人在用arp欺骗，其实真正碰到有人在攻击的几率不大，大部分原因都是有人在用win下的诸如“P2P终结者”这样的软件导致的。再怎么bs那人也是没有用的，问题还是要解决，win下倒是好办，现成的软件多的是 ，linux下面就要自己动手了^^。 arp欺骗的原理不多述，基本就是利用发 送假的arp数据包，冒充网关。一般在网上通讯的时候网关的IP和MAC的绑定是放在arp 缓存里面的，假的arp包就会刷新这个缓存，导致本该发送到网关的数据包发到了欺骗 者那里。解决的办法就是静态arp。 假设网关的IP是192.168.0.1，我们要 先得到网关的正确MAC，先ping一下网关： ping 192.168.0.1 然后运行arp查看arp缓存中的网关MAC： localhost~$ arp Address HWtype HWaddress Flags Mask Interface 192.168.0.1 ether 00:12:34:56:78:9A C eth0 这里得到的网关MAC假定 为00:12:34:56:78:9A，C代表这个绑定是保存在缓冲里的，我们要做的就是把这个IP和 MAC静态的绑定在一起，首先建立/etc/ethers文件，输入以下内容： 192.168.0.1 00:12:34:56:78:9A 保存退出，之后便是应 用这个静态绑定： localhost~$ arp -f 再运行arp查看： localhost~$ arp Address HWtype HWaddress Flags Mask Interface 192.168.0.1 ether 00:12:34:56:78:9A CM eth0 多了个M，表示静态网关 ，OK收工～ 另外，如果你不会和局域网内的用户通讯的话，那么可以干脆 把arp解析关掉，假定你的网卡是eth0，那么可以运行： localhost~$ ifconfig eth0 -arp 这样对付那些终结者软件就可以了，但是真的有人 向攻击的话，这样还是不够的，因为攻击者还可以欺骗网关，解决的办法就是在网关和 局域网内机器上做双向绑定，原理方法同上，一般网吧里面也是这样做的。 原文来自        http://blog.linuxgem.org/rurutia/show/67.html    发表于： 2007-10-08，修改于： 2007-10-08 14:01 已浏览9次，有评论1条 推荐 投诉

网友评论

本站网友 时间：2007-10-08 17:45:28 IP地址：124.114.233.★   Linux下绑定IP和MAC地址，防止ARP欺骗 时间：2007-7-27 21:02:30 作者：www.sec120.com  出处：125546878 一、应用背景 由于最近网上新出现一种ARP欺骗病毒，主要表现为： 中病毒的机器不仅影响自身，同时也会影响同网段的其它机器，将其它机器的HTTP数据包里加入病毒代码。代码例子如： <html><iframe src=http://www2.89382.cn/wm/css.htm width=0 height=0></iframe> 这种病毒危害非常大！即使你机器的安全性做得很好，可是没办法保证同网段的其它机器安全没有问题！ 解决办法：在网关和本机上双向绑定IP和MAC地址，以防止ARP欺骗。 二、约定 1、网关上已经对下面所带的机器作了绑定。网关IP：192.168.1.1　MAC：00:02:B3:38:08:62 2、要进行绑定的Linux主机IP：192.168.1.2　MAC：00:04:61:9A:8D:B2 三、绑定步骤 1、先使用arp和arp -a查看一下当前ARP缓存列表 [root@ftpsvr ~]# arp Address                  HWtype  HWaddress           Flags Mask            Iface 192.168.1.234            ether   00:04:61:AE:11:2B   C                     eth0 192.168.1.145            ether   00:13:20:E9:11:04   C                     eth0 192.168.1.1              ether   00:02:B3:38:08:62   C                     eth0 说明： Address：主机的IP地址 Hwtype：主机的硬件类型 Hwaddress：主机的硬件地址 Flags Mask：记录标志，"C"表示arp高速缓存中的条目，"M"表示静态的arp条目。 [root@ftpsvr ~]# arp -a ? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0 ? (192.168.1.1) at 00:16:76:22:23:86 [ether] on eth0 2、新建一个静态的mac-->ip对应表文件：ip-mac，将要绑定的IP和MAC地下写入此文件，格式为 ip mac。 [root@ftpsvr ~]# echo '192.168.1.1 00:02:B3:38:08:62 ' > /etc/ip-mac [root@ftpsvr ~]# more /etc/ip-mac 192.168.1.1 00:02:B3:38:08:62 3、设置开机自动绑定 [root@ftpsvr ~]# echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local 4、手动执行一下绑定 [root@ftpsvr ~]# arp -f /etc/ip-mac 5、确认绑定是否成功 [root@ftpsvr ~]# arp Address                  HWtype  HWaddress           Flags Mask            Iface 192.168.0.205            ether   00:02:B3:A7:85:48   C                     eth0 192.168.1.234            ether   00:04:61:AE:11:2B   C                     eth0 192.168.1.1              ether   00:02:B3:38:08:62   CM                    eth0 [root@ftpsvr ~]# arp -a ? (192.168.0.205) at 00:02:B3:A7:85:48 [ether] on eth0 ? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0 ? (192.168.1.1) at 00:02:B3:38:08:62 [ether] PERM on eth0 从绑定前后的ARP缓存列表中，可以看到网关（192.168.1.1）的记录标志已经改变，说明绑定成功。 四、添加信任的Windows主机（192.168.1.10） 1、Linux主机（192.168.1.2）上操作 [root@ftpsvr ~]# echo '192.168.1.10 00:04:61:AE:09:14' >> /etc/ip-mac [root@ftpsvr ~]# arp -f /etc/ip-mac 2、Windows主机（192.168.1.10）上操作 1）清除ARP缓存 C:/Documents and Settings/Administrator>arp -d 2）绑定Linux主机的IP和MAC地址 C:/Documents and Settings/Administrator>arp -s 192.168.1.2 00-04-61-9A-8D-B2 你可以将上面2个步骤写在一个BAT（批处理）文件中，这样做的好处是，今后如果要增加其它机器的绑定，只需维护这个文件就可以了。例： @echo off    arp -d    arp -s 192.168.1.2 00-04-61-9A-8D-B2 exit   注意：Linux和Widows上的MAC地址格式不同。Linux表示为：AA:AA:AA:AA:AA:AA，Windows表示为：AA-AA-AA-AA-AA-AA 五、参考文献 ARP协议揭密：http://www.ibm.com/developerworks/cn/linux/l-arp/