日期:2014-05-16  浏览次数:20603 次

linux下防御arp欺骗的解决办法
 现在网络执法官、P2P终结者常常出现在局域网中胡搞瞎搞,使得网速变慢了,糟糕的话还断网。在windows中只要有“反p2p终结者”或arp防火墙

  “antiarp”,就可以轻松解决问题,在linux下呢,以下方法操作是在ubuntu下进行。


  如何知道自己被用arp欺骗攻击呢?


  在终端输入arp,如果除了显示网关IP和MAC地址外,还出现别的计算机的IP和地址的话,说明你现正被出现的那台计算机攻击,不爽的话可以直接走过去按下他的Power键,要是懒得去的话,那就继续看吧。


  步骤一. 在能上网时,在终端输入命令:arp,查看网关IP对应的正确MAC地址,(因为受攻击后,网关MAC地址会变成发动攻击的那台计算机的MAC地址,最简单的就是多输命令arp几次,直到显示的MAC地址和其他计算机的MAC地址不同时,就是网关IP对应的正确MAC地址了)将其记录下来。 注:如果已经不能上网,则先运行一次命令arp –d,将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp。


  步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。步骤如下:

sudo arp -s x.x.x.x xx:xx:xx:xx:xx:xx
(其中x.x.x.x是网关的IP地址,xx:xx:xx:xx:xx:xx是网关的mac地址)
sudo ifconfig eth0 -arp
每一次电脑重启后以上操作会失效,需要再运行一次。

  很多人说以上步骤要修改配置文件很麻烦,这是一个图形界面的解决方式:
  用鼠标点击“系统”->“首选项”->“会话”,点击“新建”按钮,在名称一栏输入一个名字,如arp-static,命令一栏中输入 gksu “/usr/sbin/arp -s x.x.x.x xx:xx:xx:xx:xx:xx”,最后确定,然后在“启用”前打上勾,这样每次启动ubuntu进入桌面的时候,您只要输入密码就可以运行绑定命令了。(其中x.x.x.x是网关的IP地址,xx:xx:xx:xx:xx:xx是网关的mac地址)


预防措施

  1.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。



  2.建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。



  3.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。
网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
  192.168.2.32 08:00:4E:B0:24:47

  然后再/etc/rc.d/rc.local最后添加:
  arp -f 生效即可


本文转自 ☆★ 黑白前线 ★☆ - www.hackline.net 转载请注明出处,侵权必究!
原文链接:http://www.hackline.net/a/special/linux/safe/2010/0617/4501.html