Ubuntu防火墙管理(六)——ARP防火墙过滤防御&自定义系统服务

已于 2024-12-09 23:35:16 修改
阅读量731 收藏 7
点赞数 7
分类专栏: Linux内核与网络安全实践 Linux Exploring 文章标签: ARP Linux
于 2024-12-09 19:19:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuia64649495/article/details/144355516
版权

起因

在ubuntu24.04中检查arp表,输出异常

arp -a

? (10.162.242.142) 位于 74:3a:20:b9:e8:02 [ether] 在 wlp2s0
? (10.162.0.1) 位于 在 wlp2s0
ubuntu环境中,这是否表示ARP攻击,本地网关为10.162.0.1,可用arptables防御吗?

GPT分析与ARP攻击判定

根据你提供的信息,以下是对该情况的分析和建议:

  1. ARP表项解释

    • ? (10.162.242.142) 位于 74:3a:20:b9:e8:02 [ether] 在 wlp2s0:这表示IP地址为10.162.242.142的设备在MAC地址为74:3a:20:b9:e8:02的网络接口wlp2s0上。
    • ? (10.162.0.1) 位于 <incomplete> 在 wlp2s0:这表示IP地址为10.162.0.1的设备(通常是本地网关)的MAC地址未解析完成。

  2. ARP攻击的迹象

    • ARP攻击通常表现为网络中设备ARP表项的频繁变化或异常MAC地址。
    • 在你的情况下,10.162.0.1的MAC地址未解析完成(<incomplete>),这可能是网络问题或ARP攻击的迹象。

  3. 使用arptables进行防御

    • arptables是一个用于管理ARP包过滤的工具,可以用来防御ARP攻击。
    • 你可以通过设置规则来限制ARP包的流量,确保只有合法的ARP包能够通过。

修改Arp规则过滤报文

以下是如何使用arptables进行基本防御的步骤:

  1. 安装arptables

    sudo apt-get install arptables

  2. 设置基本规则

sudo arptables -A INPUT --src-ip 10.162.0.1 --src-mac 74:3a:20:b9:e8:02 -j ACCEPT
sudo arptables -P INPUT DROP
  1. 查看当前的ARP规则
   sudo arptables -L

结果如下:

$ sudo arptables -L
Chain INPUT (policy DROP)
-j ACCEPT -s _gateway --src-mac 74:3a:20:b9:e8:02

Chain OUTPUT (policy ACCEPT)

  1. 保存规则

    sudo arptables-save > /etc/arptables.rules

  2. 开机自动加载规则
    /etc/rc.local文件中添加以下内容:

    arptables-restore < /etc/arptables.rules

但由于ubuntu24不存在/etc/rc.local,要想开机执行arptables规则,有两种方法

开机执行arptables规则

方法1——将开机更改arptables规则写入系统服务

如果你的 Ubuntu 系统中没有 /etc/rc.local,你可以使用 systemd 创建一个自定义服务来在系统启动时执行 arptables-restore 命令。以下是具体步骤:

创建 Systemd 服务

  1. 创建服务文件

    使用文本编辑器创建一个新的服务文件,例如 arptables.service

    sudo nano /etc/systemd/system/arptables.service

  2. 添加服务配置

    在文件中添加以下内容:

    [Unit]
Description=Restore arptables rules
After=network.target

[Service]
Type=oneshot
ExecStart=/sbin/arptables-restore < /etc/arptables.rules
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

    这里的 After=network.target 确保在网络服务启动后再执行 arptables-restore

  3. 保存并退出

    CTRL + X,然后按 Y 确认保存,最后按 Enter 退出编辑器。

启用和启动服务

  1. 启用服务

    运行以下命令以启用服务,使其在系统启动时自动运行:

    sudo systemctl enable arptables.service

  2. 启动服务(可选):

    如果你想立即启动服务并测试它,可以运行:

    sudo systemctl start arptables.service

验证服务状态

你可以通过以下命令检查服务的状态,确保它已成功启动:

$ sudo systemctl status arptables.service
/etc/systemd/system# sudo systemctl status arptables.service
● arptables.service - Restore arptables rules
     Loaded: loaded (/etc/systemd/system/arptables.service; enabled; preset: enabled)
     Active: active (exited) since Mon 2024-12-09 22:59:44 CST; 8s ago
   Main PID: 43281 (code=exited, status=0/SUCCESS)
        CPU: 2ms

12月 09 22:59:44 star systemd[1]: Starting arptables.service - Restore arptables rules...
12月 09 22:59:44 star systemd[1]: Finished arptables.service - Restore arptables rules.

查看日志

如果需要查看服务的输出或错误信息,可以使用以下命令:

journalctl -u arptables.service

方法2——用netfilter-persistent

netfilter-persistent 是一个更通用的工具,旨在管理与 Linux 内核中的 Netfilter 框架相关的所有类型的规则,包括 iptables、ip6tables(用于 IPv6)和 arptables(用于 ARP).

安装iptables-persistent,会顺带安装netfilter-persistent

sudo apt install iptables-persistent

保存当前规则

sudo netfilter-persistent save
  • 这条指令的作用是将当前的 iptables 和 arptables 规则保存到配置文件中,以便在系统重启后能够自动恢复这些规则。

重新加载iptables、arptables规则

sudo netfilter-persistent reload	#
  • 命令的作用是重新加载已保存的 iptables 和 arptables 规则。这意味着它会从配置文件中读取规则并应用到当前的防火墙设置中。
  • 当你修改了防火墙规则文件(例如,添加、删除或更改规则)后,可以使用 netfilter-persistent reload 命令来立即应用这些更改。

开机启动nftables服务

  • netfilter-persistent作用于nftables的配置文件
  • 因此相当于把规则借助于nftables服务来执行
  • 所以要保证nftables服务正常执行
sudo systemctl enable nftables
sudo systemctl start nftables

可查看

sudo systemctl status nftables
[网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
杨秀璋的专栏
05-12 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。这篇文章将讲解Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell反弹、权限提升和获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
[网络安全自学篇] 九十一.阿里云搭建LNMP环境及实现PHP自定义网站IP访问 (1)
杨秀璋的专栏
07-25 6588
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。本文主要分享作阿里云搭建LNMP环境及实现PHP自定义网站IP访问,同时详细介绍走过的坑,还发了朋友圈求助大家,再次感谢。本来想重新设置一个专栏分享基于阿里云的PHP网站搭建,但考虑到搞安全的也会面临各种靶场及个人网站搭建的情况,所以将这篇文章放置在“网络安全自学篇”中,后续还会分享PHP如何记录后台IP及Python定位经纬度等知识,希望对您有所帮助~
arp防火墙
12-19
自己呢 自我感觉还是不错呢
ubuntu ARP 防御
weixin_34347651的博客
12-11 179
ubuntuarp攻击防御和反击 1,简单绑定办法 1 2 3 4 5 6 7 #查看网关地址 arp -nv 地址 类型 硬件地址 标志 Mask 接口 192.168.1.1 ether 00:14:78:67:cf:0...
netfilter-persistent命令
最新发布
zrhsmile的博客
03-13 1094
Netfilter 并非一个具体的命令,而是 Linux 内核中一个强大且灵活的网络数据包处理框架。它在内核层面实现了一系列的钩子(hook)函数,这些钩子分布在网络数据包处理的不同阶段,允许对数据包进行过滤、修改、转发等操作。Netfilter 是 iptables、ip6tables、arptables 等防火墙工具的底层基础,为这些工具提供了数据包处理的能力。是一个用户空间的工具,主要用于管理 Netfilter 规则的持久化。在 Linux 系统中,使用iptables。
记一次 Ubuntu 使用 arptables 抵御局域网 ARP 攻击
weixin_34138521的博客
05-04 262
. . . . . 前段时间大概有一个月左右,租房的网络每天都断一次,每次断大概一两分钟左右就恢复了,所以没太在意。直到有一天晚上,LZ 正在写博客,但是网络频繁中断又重新连上再中断。待 LZ 好不容易找了个连上网的空隙把没写完的博文暂存了一下,然后就开始着手排查问题。 通过 arp(1) 命令发现网关的 mac 地址不是房东路由器的地址,于是第一反应便是内网发生了 ARP 攻击。 ...
ARP防火墙 v4.1.1
03-13
软件介绍 你的网络是否经常掉线,是否经常发生IP冲突? 你是否担心通讯数据受到监控(如MSN、QQ、EMAIL)? 你的网络速度是否受到网管软件限制(如聚生网管、P2P终结者)? 你是否深受各种ARP攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)? 以上各种问题的根源都是ARP欺骗(ARP攻击)。在没有ARP欺骗之前,数据流向是这样的:网关本机。ARP欺骗之后,数据流向是这样的:网关攻击者(&ldquo;网管&rdquo;)本机,本机与网关之间的所有通讯数据都将流经攻击者(&ldquo;网管&rdquo;),所以&ldquo;任人宰割&rdquo;就在所难免了。 ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问题。 ARP防火墙大功能 * 拦截外部攻击。在系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全; * 拦截IP冲突。在系统内核层拦截IP冲突数据包,保障系统不受IP冲突攻击的影响; * 拦截外对攻击。在系统内核层拦截本机对外的ARP攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦; * 监测ARP缓存。自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全; * 主动防御。主动与网关保持通讯,通告网关正确的MAC地址,以保持网络畅通及通讯安全; * 锁定攻击者。发现攻击行为后,自动快速锁定攻击者IP地址;
ARP渗透与攻防()ARP攻击防御
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-27 3460
ARP攻击的原理是向网关和靶机不停的发送ARP欺骗报文,我们的计算机或者网关就会实时更新ARP缓存表,从而出现安全漏洞。假如对这种欺骗报文的处理是不相信或者不接受的话,就不会出现问题了。处理这种的欺骗的行为我们没办法提前在攻击端进行操作,因为敌人躲在暗处,而我们处明处。针对这种情况我们可以从以下两方面入手:1.让我们的电脑不接收欺骗包2.即使接收到欺骗的包也不要相信目前网络安全行业现有的ARP防御方案,基本都是基于上面两个方法实现的。
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 2898
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
运维知识点-Windows操作系统-cmd/Dos批处理bat命令与脚本手册
aming小老弟
11-17 2231
注释输入和输出变量条件判断循环跳转函数DOS命令CurlTelnet添加账号并加入管理员组添加用户至远程桌面组允许修改密码关闭防火墙获取系统和版本信息显示本地或远程机器上当前运行的进程列表。操作系统 服务命令列表chkdsk.exe 磁盘检查开3389端口systeminfo获取NETBIOS主机名ping 测试网络连接net computer 添加或者删除域数据库中的计算机,telnet命令进行远程登陆使用ftp命令进行数据传输使用netstat命令查看网络连接的相关信息。
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 1427
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
ARP防火墙单机版 v5.01
03-13
软件介绍 ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问题。 ARP防火墙九大功能 1. 拦截ARP攻击。 (A)系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全; (B)系统内核层拦截本机对外的ARP攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦; 2. 拦截IP冲突。在系统内核层拦截IP冲突数据包,保障系统不受IP冲突攻击的影响; 3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包,定位恶意发动DoS攻击的程序,从而保证网络的畅通; 4. 安全模式。除了网关外,不响应其它机器发送的ARP Request,达到隐身效果,减少受到ARP攻击的几率; 5. ARP数据分析。分析本机接收到的所有ARP数据包,掌握网络动态,找出潜在的攻击者或中毒的机器; 6. 监测ARP缓存。自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全; 7. 主动防御。主动与网关保持通讯,通告网关正确的MAC地址,以保持网络畅通及通讯安全; 8. 追踪攻击者。发现攻击行为后,自动快速锁定攻击者IP地址; 9. 查杀ARP病毒。发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序;
Ubuntu 安装 ARP 防火墙
weixin_34186931的博客
11-28 289
. . . . . 1 sudo apt-get install firestarter2 sudo firestarter
ubuntu&nbsp;ARP&nbsp;防御
数据库天地
12-11 186
ubuntuarp攻击防御和反击 1,简单绑定办法 1 2 3 4 5 6 7 #查看网关地址 arp -nv 地址 类型 硬件地址 标志 Mask 接口 192.168.1.1 ether 00:14:78:67:cf:00 CM ...
UbuntuUbuntu下面ARP攻击
David Xiao
01-10 3464
参考链接: 1、https://zhidao.baidu.com/question/2120190401255396027.html
Ubuntu通过arp-scan查找局域网所有ip
weixin_53347565的博客
07-18 1801
ubuntu找局域网的ip
去堆叠模式下ubuntu22.04修改内核源码支持ARP双发
BK_sys的博客
10-31 3127
随着互联网规模越来越大,交换机数量成倍增加,质量问题也越来越严重,传统的堆叠技术也面临着诸多挑战,其中成员交换机故障风险、交换机系统bug、软件版本升级问题等都会对网络可用性造成影响,因此网络技术发展出了去堆叠的方案,这种方案在物理形态上去掉了传统的堆叠线缆,两台交换机独立工作,同时服务器依然采用双上联bond模式,提高了网络可靠性。关于去堆叠技术的设计方案,网上有很多介绍,这里我们选择了去堆叠技术中的ARP转主机路由的方式,这种方式服务器侧的网络配置不变,但是需要修改linux内核支持ARP双发。
Ubuntu(通用)—网络加固—ufw+防DNS污染+ARP绑定
shuia64649495的博客
07-01 930
DNS协议,把域名解析成ip地址,udp,这个过程会暴露访问的域名,对这一传输过程加密(传输层用tcp)即为DoH(DNS over HTTPS)
Wireshark - 【学习笔记】(Ubuntu18.04)、协议分析(IP、ARP、ICMP、DNS、UDP、TCP、DHCP、HTTP、HTTPS、FTP、Telnet)
LawssssCat的博客
11-20 3799
在csdn看到好的文章想转载,无奈找不到转载的功能,只能想办法了。 首先确定原文允许转载 在文章开头处一般有版权声明,如图 转载时要注明出处和作者 如何转载 用谷歌浏览器加载文章地址,打开文章 F12打开Developer Tools,并打开Elements页面 将文章开头部分的文字作为关键字在Elements界面搜索 以此文为例:h...
Ubuntu 16.04 LTS服务器iptables防火墙配置指南
本篇文档详细介绍了在Ubuntu 16.04 LTS系统上使用iptables防火墙进行安全配置的过程,以确保服务器的安全性。文章首先阐述了配置防火墙的目的,即保护服务器免受未经授权的访问和恶意攻击,限制不必要的端口暴露,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值