针对目前在网络上十分盛行的ARP攻击,linux用户需要一套行之有效的防御方法。
传统的ip与mac绑定做法是: arp -s IP地址 MAC地址
这个做法在实际防御中是没有任何作用的,因为你的机器还在接收arp广播包,刚刚绑定的地址很快就会被替换掉。如何让其不被替换的方法,目前我还没有发现。
最根本的方法,是关掉网卡的ARP功能(ifconfig ethx -arp)。很多情况下,我们只需要与网关通信,网络里面其他的机器很少通信。所以我们建立一个ip地址和mac地址的对应关系文件:/etc/ethers
cat /etc/ethers
192.168.1.254 00:14:78:8B:C4:54
然后执行 arp -f 的命令,即可绑定。
经过以上两个步骤,arp攻击中对你的欺骗就不起作用了。但是,arp欺骗还有另外一种方式,就是欺骗网关,以至于网关无法获得你的正确mac地址,这个问题又要怎样解决呢?
arping -U -I eth0 -s 192.168.1.17 192.168.1.254
这个命令的含义为将绑定在eth0上的IP地址(192.168.1.17)对应的MAC地址告诉网关(192.168.1.254)
但是,请大家注意,关闭了网卡的arp功能之后,这个命令也就不能使用了。也就是说,以上两个方法分别可以应付单一的ARP欺骗攻击。但是由于上述两法无法同时使用,攻击方若采取“中间人”攻击,被攻击的机器必然无法正常与网关通信,但是“中间人”的攻击也是无法得逞的。
我仍然在寻找更好的方法,如有哪位朋友知道,还请不吝赐教!
阅读(3776) | 评论(2) | 转发(0) |