原帖由 jiangchunlin 于 2010-8-18 01:22 发表 http://hostloc.wiki/images/common/back.gif
把网关IP和MAC地址写入到 /etc/ethers中
搞成静态网关
完工
兄弟 能提供你的Q不,帮我瞧下。。。
站被挂马,你怎么知道是ARP的?
上个ARP防火墙,完工
原帖由 ninjai 于 2010-8-18 02:11 发表 http://hostloc.wiki/images/common/back.gif
站被挂马,你怎么知道是ARP的?
arp挂马是动态修改数据包的,所以有3个测试方法
1、ARP表错了。不过你平时不记录真实的网关MAC的话,很难发现。
2、你发现网页里面插入了木马,但是打开文件,却发现没有修改。
3、你可以创建一个新的空白的页面,比如blank.htm,然后直接访问,也发现有木马。
那就是ARP攻击的概率较大了。
当然也有别的可能。
arp应该让机房解决,如果是真的ARP,自己是没办法彻底解决的。必须双向绑定。
linux主机
如果攻击发包欺骗你的主机:
最根本的方法,是关掉网卡的ARP功能(ifconfig ethx -arp)。很多情况下,我们只需要与网关通信,网络里面其他的机器很少通信。所以我们建立一个ip地址和mac地址的对应关系文件:/etc/ethers
cat /etc/ethers
111.111.111.111 00:00:78:cc:55:6d
执行arp -f 绑定
如果攻击发包欺骗的是网关:(MD这种最讨厌,太TMD不道德了)
常见方法是
arping -U -I eth0 -s 192.168.1.17 192.168.1.254
这个命令的含义为将绑定在eth0上的IP地址(192.168.1.17)对应的MAC地址告诉网关(192.168.1.254)
其实就是自己发包去刷网关的arp表
arping 效率不高。
你可以用arp攻击程序来搞,就相当于自己攻击自己,只不过刷新的记录是真实的而已。
例如
arpoison
http://www.arpoison.net/
先装libnet
http://libnet.sourceforge.net/
先安装libnet
tar -xvzf libnet.tar.gz
cd libne
./configure
makemake install
安装arpoison
tar -xvzf arpoison-0.6.tar.gz
cd arpoison
gcc arpoison.c
/usr/lib/libnet.a -o arpoison
Usage: -i device -d dest_IP -s src_IP -t target_MAC -r src_MAC [-a] [-w time between packets] [-n number to send]示例:arpoison -i eth0 -d 172.16.18.254 -s 172.16.18.19 -t ff:ff:ff:ff:ff:ff -r 00:11:09:E8:78:DD
-i eth0 指定发送arp包的网卡接口eth0
-d 172.16.18.254 指定目的ip为172.16.18.254
-s 172.16.18.19指定源ip为172.16.18.19
-t ff:ff:ff:ff:ff:ff 指定目的mac地址为ff:ff:ff:ff:ff:ff(arp广播地址)
-r 00:11:09:E8:C8:ED指定源mac地址为00:11:09:E8:C8:ED
arp可以欺骗你的机器,也可以欺骗网关,并且可以持续发包来欺骗。楼上这个方法只能解决或者缓解某些ARP情况,只要攻击者发包频率高于你本机的发包频率就没用了,不能彻底解决。
彻底解决还是得机房,而且这是机房的责任,ARP相当于内网攻击,机房有责任找出攻击者解决问题。
[ 本帖最后由 domin 于 2010-8-18 08:07 编辑 ]
联系机房,说不解决ARP问题,就不付钱了。撤柜
arp的话得双绑了
