linux下防範arp欺騙攻擊

2021-04-13 12:16:04 字數 3981 閱讀 9172

原貼:http://blog.chinaunix.net/u1/47189/showart_396686.html

linux下防範arp欺騙攻擊

rurutiaposted @ 2023年04月23日 12:17am in

linux with tags

arp攻擊

前兩天家裡的網斷斷續續,發現有人在用arp欺騙,其實真正碰到有人在攻擊的機率不大,大部分原因都是有人在用win下的諸如「p2p終結者」這樣的軟體導致的。再怎麼bs那人也是沒有用的,問題還是要解決,win下倒是好辦,現成的軟體多的是 ,linux下面就要自己動手了^^。

假設閘道器的ip是192.168.0.1,我們要 先得到閘道器的正確mac,先ping一下閘道器:

ping 192.168.0.1
然後執行arp檢視arp快取中的閘道器mac:

localhost~$ arp

address hwtype hwaddress flags mask inte***ce

192.168.0.1 ether 00:12:34:56:78:9a c eth0

這裡得到的閘道器mac假定 為00:12:34:56:78:9a,c代表這個繫結是儲存在緩衝裡的,我們要做的就是把這個ip和 mac靜態的繫結在一起,首先建立/etc/ethers檔案,輸入以下內容:

192.168.0.1 00:12:34:56:78:9a
儲存退出,之後便是應 用這個靜態繫結:

localhost~$ arp -f
再執行arp檢視:

localhost~$ arp

address hwtype hwaddress flags mask inte***ce

192.168.0.1 ether 00:12:34:56:78:9a cm eth0

多了個m,表示靜態閘道器 ,ok收工~

localhost~$ ifconfig eth0 -arp
這樣對付那些終結者軟體就可以了,但是真的有人 向攻擊的話,這樣還是不夠的,因為攻擊者還可以欺騙閘道器,解決的辦法就是在閘道器和 區域網內機器上做雙向繫結,原理方法同上,一般網咖裡面也是這樣做的。

推薦投訴

本站網友

這種病毒危害非常大!即使你機器的安全性做得很好,可是沒辦法保證同網段的其它機器安全沒有問題!

解決辦法:在閘道器和本機上雙向繫結ip和mac位址,以防止arp欺騙。

二、約定

1、閘道器上已經對下面所帶的機器作了繫結。閘道器ip:192.168.1.1 mac:00:02:b3:38:08:62

2、要進行繫結的linux主機ip:192.168.1.2 mac:00:04:61:9a:8d:b2

三、繫結步驟

1、先使用arp和arp -a檢視一下當前arp快取列表

[root@ftpsvr ~]# arp

address                  hwtype  hwaddress           flags mask            iface

192.168.1.234            ether   00:04:61:ae:11:2b   c                     eth0

192.168.1.145            ether   00:13:20:e9:11:04   c                     eth0

192.168.1.1              ether   00:02:b3:38:08:62   c                     eth0

說明:address:主機的ip位址

hwtype:主機的硬體型別

hwaddress:主機的硬體位址

flags mask:記錄標誌,"c"表示arp快取記憶體中的條目,"m"表示靜態的arp條目。

[root@ftpsvr ~]# arp -a

? (192.168.1.234) at 00:04:61:ae:11:2b [ether] on eth0

? (192.168.1.1) at 00:16:76:22:23:86 [ether] on eth0

2、新建乙個靜態的mac-->ip對應表檔案:ip-mac,將要繫結的ip和mac地下寫入此檔案,格式為 ip mac。

[root@ftpsvr ~]# echo '192.168.1.1 00:02:b3:38:08:62 ' > /etc/ip-mac

[root@ftpsvr ~]# more /etc/ip-mac

192.168.1.1 00:02:b3:38:08:62

3、設定開機自動繫結

[root@ftpsvr ~]# echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local

4、手動執行一下繫結

[root@ftpsvr ~]# arp -f /etc/ip-mac

5、確認繫結是否成功

[root@ftpsvr ~]# arp

address                  hwtype  hwaddress           flags mask            iface

192.168.0.205            ether   00:02:b3:a7:85:48   c                     eth0

192.168.1.234            ether   00:04:61:ae:11:2b   c                     eth0

192.168.1.1              ether   00:02:b3:38:08:62   cm                    eth0

[root@ftpsvr ~]# arp -a

? (192.168.0.205) at 00:02:b3:a7:85:48 [ether] on eth0

? (192.168.1.234) at 00:04:61:ae:11:2b [ether] on eth0

? (192.168.1.1) at 00:02:b3:38:08:62 [ether] perm on eth0

從繫結前後的arp快取列表中,可以看到閘道器(192.168.1.1)的記錄標誌已經改變,說明繫結成功。

四、新增信任的windows主機(192.168.1.10)

1、linux主機(192.168.1.2)上操作

[root@ftpsvr ~]# echo '192.168.1.10 00:04:61:ae:09:14' >> /etc/ip-mac

[root@ftpsvr ~]# arp -f /etc/ip-mac

2、windows主機(192.168.1.10)上操作

1)清除arp快取

c:/documents and settings/administrator>arp -d

2)繫結linux主機的ip和mac位址

c:/documents and settings/administrator>arp -s 192.168.1.2 00-04-61-9a-8d-b2

你可以將上面2個步驟寫在乙個bat(批處理)檔案中,這樣做的好處是,今後如果要增加其它機器的繫結,只需維護這個檔案就可以了。例:

@echo off   

arp -d   

arp -s 192.168.1.2 00-04-61-9a-8d-b2

exit  

注意:linux和widows上的mac位址格式不同。linux表示為:aa:aa:aa:aa:aa:aa,windows表示為:aa-aa-aa-aa-aa-aa

五、參考文獻

arp協議揭密:http://www.ibm.com/developerworks/cn/linux/l-arp/ 

ARP欺騙攻擊

中間人攻擊 arp毒化 heee 2012 07 30 共1962446人圍觀 發現 23 個不明物體 系統安全 感謝heee投遞 中間人攻擊雖然古老,但仍處於受到黑客攻擊的危險中,可能會嚴重導致危害伺服器和使用者。仍然有很多變種的中間人攻擊是有效的,它們能夠很容易的欺騙外行並且入侵他們。正如字面意...

ARP欺騙攻擊

由於區域網的網路流通不是根據ip位址進行,而是根據mac位址進行傳輸。所以,mac位址在a上被偽造成乙個不存在的mac位址,這樣就會導致網路不通,a不能ping通c 這就是乙個簡單的arp欺騙。假設乙個網路環境中,網內有三颱主機,分別為主機a b c。主機詳細資訊如下描述 a的位址為 ip 192....

arp欺騙攻擊

什麼是arp arp 位址解析協議 將ip位址轉換為mac位址 過程 arp欺騙原理 就像騙人一樣,分別欺騙主機a和主機b,讓兩者認為我就是對方 操作首先,找到目標ip與閘道器ip 在linux系統中使用ip route命令即可知道自己的ip以及閘道器位址 在kali中,nmap sp 網段可以掃瞄...