arptables实现ARP报文IPMAC绑定

最新推荐文章于 2024-02-04 19:47:46 发布
最新推荐文章于 2024-02-04 19:47:46 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: netfilter防火墙 文章标签: arptables arp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/123464167
版权

iptables实现的IPMAC绑定对ARP报文无效,以下使用arptables规则控制ARP报文的IPMAC绑定。在主机192.168.1.127上配置以下规则:

# arptables -A INPUT -s 192.168.1.201 --source-mac ! 00:0C:29:38:40:6B -j DROP
#
# arptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
-j DROP -i any -o any -s 192.168.1.201 ! --src-mac 00:0c:29:38:40:6b , pcnt=4 -- bcnt=184

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

在主机192.168.1.201(MAC:00:0c:29:38:40:19,与以上配置的source-mac不相同)上使用arping测试到以上主机1.127的连通性,发送了4个报文,没有收到回应。在主机1.127上查看arptables计数,显示丢弃了4个报文,两者相吻合。

# arping 192.168.1.127
ARPING 192.168.1.127 from 192.168.1.201 eth0
^CSent 4 probes (4 broadcast(s))
Received 0 response(s)

将主机1.201的MAC地址修改为:00:0c:29:38:40:6b,其到主机1.127的arp可通。arptables显示没有匹配DROP规则的计数。

# arptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
-j DROP -i any -o any -s 192.168.1.201 ! --src-mac 00:0c:29:38:40:6b , pcnt=0 -- bcnt=0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

另外,关键字–source-mac和–destination-mac还可以指定内置的字符串(Unicast/Multicast/Broadcast),如下拒绝主机1.201的ARP广播流量。

# arptables -A INPUT -s 192.168.1.201 --destination-mac Broadcast -j DROP
#
# arptables -L -v --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
1 -j DROP -i any -o any -s 192.168.1.201 --dst-mac ff:ff:ff:ff:ff:ff , pcnt=0 -- bcnt=0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

arp报文匹配

如下arp规则处理函数arpt_do_table,其中由arp_packet_match执行报文合规则的匹配,最后一个参数为配置的规则信息。

unsigned int arpt_do_table(struct sk_buff *skb,
               const struct nf_hook_state *state, struct xt_table *table)
{
    const struct arphdr *arp;
    struct arpt_entry *e, **jumpstack;

    e = get_entry(table_base, private->hook_entry[hook]);

    acpar.state   = state;
    acpar.hotdrop = false;

    arp = arp_hdr(skb);
    do {
        const struct xt_entry_target *t;
        struct xt_counters *counter;

        if (!arp_packet_match(arp, skb->dev, indev, outdev, &e->arp)) {
            e = arpt_next_entry(e);
            continue;
        }

首先,由ARP报文中获取发送端的硬件地址(src_devaddr),和IP地址(src_ipaddr);以及target目的端的硬件地址(tgt_devaddr)和IP地址(tgt_ipaddr),接下来,比较报文中获取的硬件地址和arptables规则(arpinfo)中配置的硬件地址是否匹配,不匹配返回0。

static inline int arp_packet_match(const struct arphdr *arphdr,
                   struct net_device *dev,
                   const char *indev, const char *outdev,
                   const struct arpt_arp *arpinfo)
{
    const char *arpptr = (char *)(arphdr + 1);
    const char *src_devaddr, *tgt_devaddr;
    ...

    src_devaddr = arpptr;
    arpptr += dev->addr_len;
    memcpy(&src_ipaddr, arpptr, sizeof(u32));
    arpptr += sizeof(u32);
    tgt_devaddr = arpptr;
    arpptr += dev->addr_len;
    memcpy(&tgt_ipaddr, arpptr, sizeof(u32));

    if (NF_INVF(arpinfo, ARPT_INV_SRCDEVADDR,
            arp_devaddr_compare(&arpinfo->src_devaddr, src_devaddr,
                    dev->addr_len)) ||
        NF_INVF(arpinfo, ARPT_INV_TGTDEVADDR,
            arp_devaddr_compare(&arpinfo->tgt_devaddr, tgt_devaddr,
                    dev->addr_len)))
        return 0;

其次,比较报文中的IP地址与规则配置的地址是否匹配,不匹配返回0。完全匹配的情况返回1,执行规则中指定的动作,以上为DROP,丢弃报文。

    if (NF_INVF(arpinfo, ARPT_INV_SRCIP,
            (src_ipaddr & arpinfo->smsk.s_addr) != arpinfo->src.s_addr) ||
        NF_INVF(arpinfo, ARPT_INV_TGTIP,
            (tgt_ipaddr & arpinfo->tmsk.s_addr) != arpinfo->tgt.s_addr))
        return 0;

    /* Look for ifname matches.  */
    ret = ifname_compare(indev, arpinfo->iniface, arpinfo->iniface_mask);

    if (NF_INVF(arpinfo, ARPT_INV_VIA_IN, ret != 0))
        return 0;

    ret = ifname_compare(outdev, arpinfo->outiface, arpinfo->outiface_mask);

    if (NF_INVF(arpinfo, ARPT_INV_VIA_OUT, ret != 0))
        return 0;

    return 1;

内核hook点

NF_ARP_IN位于arp协议的入口函数arp_rcv中,如果没有规则将报文丢弃,最后交由arp_process进行处理。

static int arp_rcv(struct sk_buff *skb, struct net_device *dev,
           struct packet_type *pt, struct net_device *orig_dev)
{
    const struct arphdr *arp;

    /* do not tweak dropwatch on an ARP we will ignore */
    if (dev->flags & IFF_NOARP ||
        skb->pkt_type == PACKET_OTHERHOST ||
        skb->pkt_type == PACKET_LOOPBACK)
        goto consumeskb;
    ...
    memset(NEIGH_CB(skb), 0, sizeof(struct neighbour_cb));

    return NF_HOOK(NFPROTO_ARP, NF_ARP_IN,
               dev_net(dev), NULL, skb, dev, NULL,
               arp_process);

内核版本 5.10

ARP劫持攻击(实验寒假补)
xiaoka__的博客
12-14 4311
1.防范ARP攻击的方法: 防范方法写在最前面 1.静态绑定(ip和Mac地址) cmd下arp -s命令: arp -s ip地址 Mac地址 2.安装ARP防火墙 如金山防火墙,彩影防火墙等。 2.ARP全称Address Resolution Protocol(地址解析协议) 3.ARP协议(地址解析协议的功能): 主机在发送数据之前将目标ip转换为MAC地址,完成网络地址到物理地址的映射,以保证两台主机之间能正常通信。 重点:必须知道MAC地址才能通信,只知道IP地址不行。 4.原理: 局域网内每
【Linux33-2】LVS的DR配置详解(ipvsadm+arptables)
weixin_46069582的博客
01-14 568
文章目录1. DR简介2. ipvsadm用法2.1 ipvsadm参数2.2 ipvsadm 关于查看结果的解释3. DR基本配置3.1 实验环境3.2 Director Server 配置3.3 Real Server 配置3.4 测试访问 1. DR简介 在很多Internet服务中,例如ftp和http,请求的流量往往远远小于回应的流量,VS/DR方式利用这种非对称的特点,只负责调度请求,而Real Server直接将相应的报文返回给客户机。 VS/DR方式是通过改写请求报文中的MAC地址部分来实
iptables简单实现IP与MAC绑定上网
03-06
iptables简单实现IP与MAC绑定上网,控制哪点机器可以上网,哪台机器上不了网
iptables实现IPMAC绑定
redwingz的博客
03-12 1034
主机192.168.1.201的MAC地址如下: $ ip address 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:0c:29:38:40:6b brd ff:ff:ff:ff:ff:ff inet 192.168.1.201/24 brd 192.168.1.255 scope global eth0
arptables
HeyITMan的专栏
04-11 1909
arptables的下载页面是:http://sourceforge.net/projects/ebtables/files/ 0.0.3.3版本的下载链接:http://downloads.sourceforge.net ... les-v0.0.3-3.tar.gz 下载以后安装: tar zxvf arptables-v0.0.3-3.tar.gz cd arptables-v0
arp绑定IP
weixin_30699741的博客
03-27 466
0.拓扑图 1. 现象:for i in `seq 1 20` ;do sleep 1|telnet www.baidu.com 80 ;done 速度有很明显的卡顿 2.操作:用tcpdump抓包,发现总是有很多172.16.0.1的ARP包。而生产环节1.215才可以直接上网,于是把172.16.0.1的Mac指定与1.215同一个Mac地址 cat /etc/rc.local...
arp-tables脚本
weixin_34242819的博客
10-06 110
#!/bin/bash VIP=172.25.0.100 VIPCAST=172.25.0.255 RIP=192.168.88.80 DGW=172.25.0.254 DGWMAC="52:54:00:00:00:fe" arptables -F arptables -A IN -d $VIP -j DROP arptables -A OUT -s $VIP -j mangle --ma...
利用shell代码防范Linux ARP攻击:实现网关静态绑定
如果匹配,脚本将执行`arp -s`命令,将网关的IP地址和MAC地址绑定为静态,确保网关始终使用正确的地址对发送和接收数据包。 脚本中提到的`arping`工具用于主动检测网络中的设备,发送ARP请求并验证响应,这有助于...
LVS(Linux Virtual Server)集群中的IP负载均衡技术 之DR(直接路由模式)模型
wzt888的博客
02-17 942
lvs的四种工作模式 DR &amp;amp;amp;amp;amp;amp;amp;amp;gt; TUN(隧道) &amp;amp;amp;amp;amp;amp;amp;amp;gt; NAT &amp;amp;amp;amp;amp;amp;amp;amp;gt; FULLNAT DR(直接路由模式): client -&amp;amp;amp;amp;amp;amp;amp;amp;gt;VS -&amp;amp;amp;amp;amp;am
ARP 劫持攻击的原理与防护策略
ARP 协议的原理是通过广播的方式在局域网中查找目标IP地址对应的物理地址,这样才能实现数据包的正确传输。 ## 1.2 ARP 劫持攻击的定义和原理 ARP 劫持攻击是指攻击者利用 ARP 协议的漏洞,通过虚假的 ARP 响应来...
linux arptables-v0.0.3-3.tar
12-07
linux arptables-v0.0.3-3.tar 你懂得,不解释
linux环境下的IP和MAC地址绑定
朱海燕的博客日记
08-31 4019
目录   用iptables进行IP和mac地址绑定 ARP中毒案例 用iptables进行IP和mac地址绑定 Linux服务器承担整个校园网访问因特网的网关,在Linux环境中,有一个非常灵活的IP过滤工具是iptables,这个工具在使用的时候可以设置多个条件同时满足才允许通过IP数据,利用这个功能就可以实现地址绑定功能。设计理念是只有IP地址和MAC地址同时满足条件时才允许数据转...
如何在Linux路由上设置IP和MAC绑定
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
10-27 2090
在有些系统中有这样的需求,希望内部网中的某几个IP地址连接互联网,而又希望这些IP地址不被非法用户盗用。可以通过下面的解决办法实现: 首先使用ipchains或者iptables来设定只允许合法的IP地址连出。对于合法IP建立IP/Mac捆绑。要讨论这个问题我们首先需要了解ARP协议的工作原理,arp协议是地址解析协议(Address Resolution Protocol)的缩写,其作用
arp防火墙arptables
fengwu66的专栏
10-09 530
1、安装arptables: 终端输入:sudo apt-get install arptables 2、定义arptables规则 sudo arptables -A INPUT --src-mac ! 网关物理地址 -j DROP sudo arptables -A INPUT -s ! 网关IP -j DROP sudo arptables -A OUTPUT --destinat
linux arp代理配置,在Linux上用arptables配置arp防火墙
weixin_39626369的博客
05-15 218
1. 安装arptables下载地址:http://sourceforge.net/projects/ebtables/files/2、安装arptablestar zxvf arptables-v0.0.3-3.tar.gzcd arptables-v0.0.3-3/makemake install生成的命令是/usr/local/sbin/arptables、/usr/local/sbin/a...
Linux命令-arptables命令(管理ARP包过滤规则表)
最新发布
RisunJan的博客
02-04 790
命令 用来设置、维护和检查Linux内核中的arp包过滤规则表。
Linux下用arptablesarp攻击
weixin_33913377的博客
07-09 214
Linux下网络层防火墙iptables很强大,链路层也有类似的防火墙arptables,可针对arp地址进行限制,防止ARP网关欺骗攻击,再配合静态绑定MAC和向网关报告正确的本机MAC地址,有效解决ARP攻击问题。Centos5安装: 1 2 3 4 5 6 #http://blog.onovps.com wget http://superb-s...
linux内核arp访欺骗配置,Ubuntu 防ARP欺骗(arptables
weixin_33603111的博客
04-29 359
现在一直用Ubuntu,很少出现跟人抢IP的事, 也就没有关心过,直到有一天,偶的IP被人用了,从网上找找了资料,发现了arptables这个东东!~思路和LNS的差不多!~~只让偶和网关间是双向通信,和其它机器间是单向,也就是可以向局域网(FF:FF:FF:FF:FF:FF)发信息,而不接收其发来的信息。呵,所以这招十分有用!~也可以用来冲别人IP,很爽哦!首先安装好arptables:* su...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值