目錄
用iptables進行ip和mac位址繫結
arp中毒案例
linux伺服器承擔整個校園網訪問網際網路的閘道器,在linux環境中,有乙個非常靈活的ip過濾工具是iptables,這個工具在使用的時候可以設定多個條件同時滿足才允許通過ip資料,利用這個功能就可以實現位址繫結功能。設計理念是只有ip位址和mac位址同時滿足條件時才允許資料**,命令如下:
iptables -p forward drop
iptables -a forward -s 192.168.6.200 -m mac --mac-source 00:11:5b:ef:7a:d8 -j accept
iptables -a forward -s 192.168.6.201 -m mac --mac-source 50:78:4c:4a:46:c0 -j accept
iptables -a forward -s 192.168.6.202 -m mac --mac-source 00:10:5c:e4:a8:50 -j accept
上面第一行是**策略,意思是沒有指定的**鏈是禁止**任何資料的。第二行表示只有滿足ip位址是192.168.6.200同時mac位址為00:11:5b:ef:7a:d8才允許**,類似的第
三、四行分別繫結的是192.168.6.201和192.168.6.202。每台機器對應這樣一行,就可以實現所有機器ip位址與mac位址的繫結。解除繫結狀態只要把上面命令列中的-a替換為-d就可以刪除本**鏈,同時還要把**策略改為accept。以上的命令需要配合postrouting鏈才可以實現上網功能。
使用者諮詢:
內網有電腦中了arp病毒,但是網路拓撲比較複雜、電腦數量較多,排查起來很困難。有什麼方法可以找出arp攻擊源?
排查方法:
1.使用sniffer抓包。在網路內任意一台主機上執行抓包軟體,捕獲所有到達本機的資料報。如果發現有某個ip不斷傳送請求包,那麼這台電腦一般就是病毒源。
原理:無論何種arp病毒變種,行為方式有兩種,一是欺騙閘道器,二是欺騙網內的所有主機。最終的結果是,在閘道器的arp快取表中,網內所有活動主機的mac位址均為中毒主機的mac位址;網內所有主機的arp快取表中,閘道器的mac位址也成為中毒主機的mac位址。前者保證了從閘道器到網內主機的資料報被發到中毒主機,後者相反,使得主機發往閘道器的資料報均傳送到中毒主機。
2. 使用arp -a命令。任意選兩台不能上網的主機,在dos命令視窗下執行arp -a命令。例如在結果中,兩台電腦除了閘道器的ip,mac位址對應項,都包含了192.168.0.186的這個ip,則可以斷定192.168.0.186這台主機就是病毒源。
原理:一般情況下,網內的主機只和閘道器通訊。正常情況下,一台主機的arp快取中應該只有閘道器的mac位址。如果有其他主機的mac位址,說明本地主機和這台主機最後有過資料通訊發生。如果某台主機(例如上面的192.168.0.186)既不是閘道器也不是伺服器,但和網內的其他主機都有通訊活動,且此時又是arp病毒發作時期,那麼,病毒源也就是它了。
3. 使用tracert命令。在任意一台受影響的主機上,在dos命令視窗下執行如下命令:tracert 61.135.179.148。 假定設定的預設閘道器為10.8.6.1,在跟蹤乙個外網位址時,第一跳卻是10.8.6.186,那麼,10.8.6.186就是病毒源。
原理:中毒主機在受影響主機和閘道器之間,扮演了「中間人」的角色。所有本應該到達閘道器的資料報,由於錯誤的mac位址,均被發到了中毒主機。此時,中毒主機越俎代庖,起了預設閘道器的作用。
總結:使用以上方法找出arp攻擊源後,先將中病毒的電腦防毒,然後可以使用arp雙向繫結可以有效預防arp攻擊。
方法:在路由器上掃瞄繫結所有電腦的ip、mac位址(reos和reos se裝置都可實現):
reos的裝置可以直接在「網路安全→ip/mac繫結」裡匯出「arp繫結指令碼檔案」放到內網每個電腦的啟動項裡。
reos-se裝置可以在電腦上使用記事本編輯乙個bat檔案,內容是「arp.exe -d 2>nul&arp.exe –s 閘道器ip 閘道器mac」同樣放到電腦啟動項裡。
LINUX環境下的IP和MAC位址繫結
linux伺服器承擔整個校園網訪問網際網路的閘道器,在linux環境中,有乙個非常靈活的ip過濾工具是iptables,這個工具在使用的時候可以設定多個條件同時滿足才允許通過ip資料,利用這個功能就可以實現位址繫結功能。設計理念是只有ip位址和mac位址同時滿足條件時才允許資料 命令如下 iptab...
LINUX環境下的IP和MAC位址繫結
linux伺服器承擔整個校園網訪問網際網路的閘道器,在linux環境中,有乙個非常靈活的ip過濾工具是iptables,這個工具在使用的時候可以設定多個條件同時滿足才允許通過ip資料,利用這個功能就可以實現位址繫結功能。設計理念是只有ip位址和mac位址同時滿足條件時才允許資料 命令如下 iptab...
LINUX環境下的IP和MAC位址繫結
linux伺服器承擔整個校園網訪問網際網路的閘道器,在linux環境中,有乙個非常靈活的ip過濾工具是iptables,這個工具在使用的時候可以設定多個條件同時滿足才允許通過ip資料,利用這個功能就可以實現位址繫結功能。設計理念是只有ip位址和mac位址同時滿足條件時才允許資料 命令如下 iptab...