Chinaunix

标题: 如何快速判断机房内网ARP？ [打印本页]

作者: 逆雪寒 时间: 2013-04-25 16:48
标题: 如何快速判断机房内网ARP？
这几天遇到黑客黑首页。。。  经过两天排查最后发现是 ARP劫持。。走了很多弯路。。

最后是通过  ifconfig em0 -arp

让外网IP 暂不响应 ARP 来进行判断。。这回黑客就无法劫持了。。我想请教下大家  有木有更好的直接了当的办法判断？

tcpdump -i em0    看里面有很多  arp 记录。。但似乎都是正常的。。。

求指点..感谢

环境是：

freebsd 8 系统

作者: macafee 时间: 2013-04-25 17:27
直接在上层交换机上绑定就行，另外单独划分VLAN即可解决。

作者: 逆雪寒 时间: 2013-04-25 17:39
嗯是的。这个是解决这个问题。。。但我想直接咋第一时间判断是ARP 劫持呢。

作者: HonestQiao 时间: 2013-04-25 17:58
机房arp是机房告诉你的哦

作者: 逆雪寒 时间: 2013-04-25 18:10
回复 4# HonestQiao

机房告诉个P 。。。。还是我自己发现的呢。。

作者: HonestQiao 时间: 2013-04-25 18:20
回复 5# 逆雪寒

机房不告诉的话，当年您老是怎么放机器进去的呢？
或者你的前任，前前任呢？

作者: chenyx 时间: 2013-04-25 18:21
没问题的时候,记下网关的mac,直接静态绑定,他就没招了吧

作者: 逆雪寒 时间: 2013-04-25 18:24
回复 7# chenyx

嗯 bsd 这边绑定了网关的MAC  但是一样被ARP  劫持黑了首页

我想是因为你从服务器版定的 MAC 是  服务器 ->  网关

但是  网关 -> 服务器这边没有绑定就直接被黑了。。  所以还得在路由上或交换上做绑定才行

作者: chenyx 时间: 2013-04-25 18:26
嗯,让机房的人做绑定.
不过绑定也有缺陷,你的网卡换了,麻烦点

作者: 逆雪寒 时间: 2013-04-25 18:31
回复 9# chenyx

嗯机房刚做了端口绑定了。。。呵呵就是在想系统级咋检测咋预防。。。

作者: chenyx 时间: 2013-04-25 18:48
arp防护没啥好办法,只能静态绑定吧

作者: 逆雪寒 时间: 2013-04-25 20:55
add allow ip from any to any via em1
add allow mac any e0:24:7f:15:f0:60 via em0
add allow mac e0:24:7f:15:f0:60 any via em0
add deny mac any any via em0
add allow ip from any to any

可以用上面来做 “隐身”。。。有效测试过了

作者: lsstarboy 时间: 2013-04-25 22:26
楼上，用ipfw的not语句会更简洁。

作者: 逆雪寒 时间: 2013-04-25 22:50
回复 13# lsstarboy

not ? 版主求指点。还没用过 not 呵呵

作者: lsstarboy 时间: 2013-04-26 19:20

add allow mac any e0:24:7f:15:f0:60 via em0
add allow mac e0:24:7f:15:f0:60 any via em0
add deny mac any any via em0

add deny mac any not e0:24:7f:15:f0:60 via em0

作者: 逆雪寒 时间: 2013-05-18 11:43
感谢版主。。。学习了谢谢你

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)