Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2072859
  • 博文数量: 470
  • 博客积分: 10206
  • 博客等级: 上将
  • 技术积分: 5620
  • 用 户 组: 普通用户
  • 注册时间: 2008-07-03 12:50
文章分类

全部博文(470)

文章存档

2012年(1)

2011年(18)

2010年(47)

2009年(404)

分类: 系统运维

2009-05-13 12:18:08

针对目前在网络上十分盛行的ARP攻击,linux用户需要一套行之有效的防御方法。

传统的ip与mac绑定做法是: arp -s IP地址 MAC地址
这个做法在实际防御中是没有任何作用的,因为你的机器还在接收arp广播包,刚刚绑定的地址很快就会被替换掉。如何让其不被替换的方法,目前我还没有发现。

最根本的方法,是关掉网卡的ARP功能(ifconfig ethx -arp)。很多情况下,我们只需要与网关通信,网络里面其他的机器很少通信。所以我们建立一个ip地址和mac地址的对应关系文件:/etc/ethers

cat /etc/ethers
192.168.1.254    00:14:78:8B:C4:54

然后执行 arp -f 的命令,即可绑定。

经过以上两个步骤,arp攻击中对你的欺骗就不起作用了。但是,arp欺骗还有另外一种方式,就是欺骗网关,以至于网关无法获得你的正确mac地址,这个问题又要怎样解决呢?

arping -U -I eth0 -s 192.168.1.17 192.168.1.254

这个命令的含义为将绑定在eth0上的IP地址(192.168.1.17)对应的MAC地址告诉网关(192.168.1.254)
但是,请大家注意,关闭了网卡的arp功能之后,这个命令也就不能使用了。也就是说,以上两个方法分别可以应付单一的ARP欺骗攻击。但是由于上述两法无法同时使用,攻击方若采取“中间人”攻击,被攻击的机器必然无法正常与网关通信,但是“中间人”的攻击也是无法得逞的。

我仍然在寻找更好的方法,如有哪位朋友知道,还请不吝赐教!
阅读(540) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~