如何快速判断机房内网ARP？

逆雪寒

这几天遇到黑客 黑首页。。。  经过两天排查 最后发现是 ARP劫持。。 走了很多弯路。。

最后是 通过  ifconfig em0 -arp

让外网IP 暂不响应 ARP 来进行判断。。    这回 黑客就无法劫持了。。   我想请教下 大家  有木有更好的直接了当的办法判断？

tcpdump -i em0       看里面有很多  arp 记录。。   但似乎都是正常的。。。

求指点..感谢

环境是：

freebsd 8 系统

逆雪寒

感谢版主。。。学习了 谢谢你

lsstarboy

add allow mac any e0:24:7f:15:f0:60 via em0
add allow mac e0:24:7f:15:f0:60 any via em0
add deny mac any any via em0

add deny mac any not e0:24:7f:15:f0:60 via em0

逆雪寒

回复 13# lsstarboy


   
not ? 版主求指点。  还没用过 not  呵呵

lsstarboy

楼上，用ipfw的not语句会更简洁。

逆雪寒

add allow ip from any to any via em1
add allow mac any e0:24:7f:15:f0:60 via em0
add allow mac e0:24:7f:15:f0:60 any via em0
add deny mac any any via em0
add allow ip from any to any


可以用上面来做  “隐身”。。。 有效测试过了

chenyx

arp防护没啥好办法,只能静态绑定吧

逆雪寒

回复 9# chenyx


  嗯 机房刚做了 端口绑定了。。。  呵呵 就是在想 系统级咋 检测  咋预防。。。

chenyx

嗯,让机房的人做绑定.
不过绑定也有缺陷,你的网卡换了,麻烦点

逆雪寒

回复 7# chenyx


嗯 bsd 这边 绑定了 网关的MAC  但是 一样被ARP  劫持 黑了首页


我想是因为 你从服务器版定的 MAC 是  服务器 ->  网关

但是  网关 -> 服务器 这边没有绑定 就直接被黑了。。  所以还得在路由上或交换上做绑定才行