linux中了ARP攻击,将MAC地址和IP绑定不起来,怎么办?

asia_ji

请参考此篇文章“ARP欺骗容易造成网络断线,解决案例”
http://blog.chinaunix.net/u/28814/showart_334674.html

freebsdxjj

这个问题的完美解决需要修改 kernel的neighbour和arp模块,如果server还充当dhcp server,则还要修改dhcpd.

解决的思路是:把dhcpd 分配出的ip地址和mac绑定到kernel的neighbour的arp表中,并且设置为无老化时间,dhcpd维护一个表,ip和mac一一对应,这个表可以手工填写,也可以在正常的网路环境下,通过dhcpd生成,
这个表一旦定下后,就不要修改了.

根据这个思路做成的产品,目前有卖

gyren2006

360防火墙显示的是服务器的eth0的地址

asia_ji

原帖由 gyren2006 于 2008-4-9 15:40 发表
360防火墙显示的是服务器的eth0的地址

按照你的描述，貌似服务器在对你的客户机进行arp欺骗！ 查清楚原因，估计是楼主自己吓自己了！

你查看一下360arp防火墙绑定的mac地址和服务器的eth0的mac地址是否相同！

asia_ji

原帖由 freebsdxjj 于 2008-4-9 14:06 发表
这个问题的完美解决需要修改 kernel的neighbour和arp模块,如果server还充当dhcp server,则还要修改dhcpd.

解决的思路是:把dhcpd 分配出的ip地址和mac绑定到kernel的neighbour的arp表中,并且设置为无老化时间 ...

使用dhcp是一个很好的解决办法；如果环境复杂，不宜部署dhcp服务的话，还是手工双向绑定mac地址吧！

daizhongxian

同意十四楼的看法  lz自己先检查下服务器的MAC和客户机绑定的是否一致

gyren2006

大哥,早已经看了啊,绑定的网关MAC地址和服务器的MAC一样的,会不会是外网有机器发起ARP?因为我们学校是在一个城域网里.去年底就是因为其他学校很多机器中了ARP攻击,我知道隔壁小学很多机器都遭到ARP,他们外网网关是172.22.44.1,我们和他们在电信里用的是同一个交换机,我们网关是172.22.45.1

[ 本帖最后由 gyren2006 于 2008-4-10 09:53 编辑 ]

gyren2006

看各位大哥的帖子,好好研究吧,我只绑定了客户端,服务器端也把所有机器绑定一下

[ 本帖最后由 gyren2006 于 2008-4-10 10:00 编辑 ]

liuzhengxin

原帖由 asia_ji 于 2008-4-9 10:05 发表
服务器、客户机端双向绑定mac地址

1、在/etc/ethers文件中建立ip地址和mac地址的对应关系（整个ip段都要写，没有分配的ip地址，mac地址写为00：00：00：00：00：00）
#arp -f
2、客户端绑定网关的mac地址  ...

太强了，将整个局域网（除网关）都封闭了，局域网之间的连接不就......

gyren2006

我 把中招的机器拦截的 图和服务器eth0的MAC地址图贴出来

[ 本帖最后由 gyren2006 于 2008-4-10 16:28 编辑 ]