linux中了ARP攻击,将MAC地址和IP绑定不起来,怎么办?

gyren2006

linux中了ARP攻击,将MAC地址和IP绑定不起来,怎么办?望高手提供个完整的解决方案,有人说先要安装个什么模块,然后才好绑定,我也不知道是什么模块

asia_ji

服务器、客户机端双向绑定mac地址

1、在/etc/ethers文件中建立ip地址和mac地址的对应关系（整个ip段都要写，没有分配的ip地址，mac地址写为00：00：00：00：00：00）
#arp -f
2、客户端绑定网关的mac地址 （360安全卫士、杀毒软件都有此功能，否则找一个脚本）
3、ifconfig eth0 arp 关闭服务器的arp相应

[ 本帖最后由 asia_ji 于 2008-4-9 10:09 编辑 ]

gyren2006

我在/etc目录下新建立个ethers文件,然后在里面添加了 192.168.1.1   00:0c:76:da:ee:21
保存,在 [root@mylinux~]下输入arp -f ,这个好象不行出现提示:SIOCSARP:Invalid argument  
arp: cannot set entry on line 1 of etherfile /etc/ethers ! 另外 客户端都绑定了.
输入 #arp -f 没有提示,不知道这个行不行.另外,每次系统重新启动后是不是都要绑定一下?

asia_ji

/etc/ethers 里面保存的是客户机的ip和mac对应表，而且不能把服务器自己的ip写在里面

asia_ji

另外，你可以通过
tcpdump -i eth1 |grep 'arp'
抓包，来定位进行arp欺骗的主机，找出来后用杀软查杀病毒，以绝后患!


编辑/etc/rc.d/rc.local
添加
arp -f

[ 本帖最后由 asia_ji 于 2008-4-9 10:52 编辑 ]

gyren2006

不会吧,那服务器的eth0IP地址和MAC不用绑定吗?有时候开客户机打开后,再开服务器客户机上的360提示受到服务器那个来自eth0的arp攻击,要是给客户机设置动态ip怎么办呢?50台机器啊,要是把每个都抄来写进去,花多少时间啊  在 [root@mylinux~]#后再输入#arp -f没有提示这就对了吗?望大哥提示下

gyren2006

大哥,你说的tcpdump -i eth1 |grep 'arp'定位我不懂啊,执行后那个提示我看不出什么意思.客户端应该没问题的,杀毒软件更新过了,也装了360和ARP防火墙,就是有时候开机时有的客户端出现受到来自网关192.168.1.1 (服务器端的eth0的地址)的攻击.而且ping 了下172.22.45.1的关口(eth1指向的外网网关)数值比较大.有时候都达到了100多,200多,现在测试了下降到了40内,偶尔过50,我也不知道什么原因

asia_ji

原帖由 gyren2006 于 2008-4-9 10:48 发表
不会吧,那服务器的eth0IP地址和MAC不用绑定吗?有时候开客户机打开后,再开服务器客户机上的360提示受到服务器那个来自eth0的arp攻击,要是给客户机设置动态ip怎么办呢?50台机器啊,要是把每个都抄来写进去,花多少时 ...

#vi mac.c   内容如下：
#include <stdlib.h>
#include <stdio.h>
main ()
{
        int k;int i;
  for (k=101;k<=101;k++){
       for(i=1;i<=254;i++){
       printf("172.16.%d.%d \t\t00:00:00:00:00:00\n",k,i);
}
}
}
注：k和i变量值可以自己根据需要更改！
#gcc mac.c -o mac
#./mac > /etc/ethers

如果你要设置动态ip，那么可以通过dhcp服务器设置ip和mac的绑定！

asia_ji

原帖由 gyren2006 于 2008-4-9 10:58 发表
大哥,你说的tcpdump -i eth1 |grep 'arp'定位我不懂啊,执行后那个提示我看不出什么意思.客户端应该没问题的,杀毒软件更新过了,也装了360和ARP防火墙,就是有时候开机时有的客户端出现受到来自网关192.168.1.1 (服 ...

你的客户端arp防火墙受到攻击后显示的mac地址是eth0的mac么？

asia_ji

[root@abc ~]# tcpdump -i eth1 |grep 'arp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN100MB (Ethernet), capture size 96 bytes
11:16:11.903254 arp who-has 172.16.100.254 tell 172.16.100.142
11:16:11.903269 arp reply 172.16.100.254 is-at 00:13:46:82:cc:72
11:16:11.903590 arp who-has 172.16.100.254 tell 172.16.100.142
11:16:11.903594 arp reply 172.16.100.254 is-at 00:13:46:82:cc:72
11:16:18.167912 arp who-has 172.16.100.254 tell 172.16.100.166
11:16:18.167934 arp reply 172.16.100.254 is-at 00:13:46:82:cc:72
11:16:32.901107 arp who-has 172.16.100.254 tell 172.16.100.68
11:16:32.901123 arp reply 172.16.100.254 is-at 00:13:46:82:cc:72
11:16:33.520353 arp who-has 172.16.100.254 tell 172.16.101.1
11:16:33.520367 arp reply 172.16.100.254 is-at 00:13:46:82:cc:72
11:17:41.115804 arp who-has 172.16.100.254 tell 172.16.101.1
11:17:41.115814 arp reply 172.16.100.254 is-at 00:13:46:82:cc:72

网关172.16.100.254
11:17:41.115804 arp who-has 172.16.100.254 tell 172.16.101.1
客户机172.16.101.1发出一个arp广播，询问172.16.100.254的mac地址
11:17:41.115814 arp reply 172.16.100.254 is-at 00:13:46:82:cc:72
172.16.100.254 作了一个回应，他的mac地址是00:13:46:82:cc:72


如果你发现另外一个mac地址冒充了网关，你就可以定位发出arp欺骗的主机