Chinaunix首页 | 论坛 | 博客
  • 博客访问: 442224
  • 博文数量: 85
  • 博客积分: 3580
  • 博客等级: 中校
  • 技术积分: 970
  • 用 户 组: 普通用户
  • 注册时间: 2010-03-09 14:09
文章分类

全部博文(85)

文章存档

2011年(7)

2010年(78)

我的朋友

分类:

2010-06-23 11:17:25

一般欺骗机器通过ARP Request获得网关的MAC,然后同样方法获得你服务器的MAC进行双向欺骗,然后sniffer密码,挂马之类。 
国内几乎所有的IDC都是几百服务器公用一个网关的。然后上百个服务器总有几个有漏洞的,然后你就被ARP欺骗挂马或者抓密码了 

下面介绍的是Linux 利用arptables来防止ARP Request获得你的MAC。这样攻击者会认为你的服务器是不存在的(本来很复杂的,需要patch编译内核什么的,上周才发现还有一个arptables,免编译内核,现在把方法写一下) 

Debian/Ubuntu:(runas sudo)CentOS/RHAS 叫arptables_jf 

Quote: 
apt-get install arptables 
arptables -A INPUT --src-mac ! 网关MAC -j DROP 
arptables -A INPUT -s ! 网关IP -j DROP 
如果你有本网的内网机器要互联,可以 

Quote: 
arptables -I INPUT --src-mac 你的其他服务器MAC ACCEPT 

如果你的MAC已经被欺骗机器拿到,那只能ifconfig ethx hw ether MAC来修改了 

有一定的危险性,请酌情测试,你也可以疯狂刷新网关+本机ARP绑定,看具体需要 
还要注意这个时候不要发出ARP Request到除网关以外的其他IP,其后果可能是被其他机器拿到MAC 

阅读(3532) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~