免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux新手园地 linux中了ARP攻击,将MAC地址和IP绑定不起来,怎么办?
123
最近访问板块 发新帖
楼主: gyren2006
打印 上一主题 下一主题

linux中了ARP攻击,将MAC地址和IP绑定不起来,怎么办? [复制链接]

asia_ji

论坛徽章:
0
21 [报告]
发表于 2008-04-11 08:29 |只看该作者
根据你的情况来看,个人认为有如下三种可能:

1、360arp防火墙设置不当,错误的认为来自服务器的arp广播为攻击

2、服务器中了病毒

3、正常来讲arp广播是无法穿越路由器的(arp是2层协议),但是如果服务器防火墙设置不当的情况下,是不是有可能造成外网的arp攻击穿越服务器,或者被服务器转发,造成对内网的攻击呢?

解决方法:

1、查看360防火墙的设置;

2、针对防火墙的策略进行优化,仅允许来自内网向外网的NEW连接,
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -i eth1 -m state --state NEW  -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP
注:eth1为连接内网的网卡,eth0为连接外网的网卡!

3、最后在考虑是否为服务器中毒引起的。


个人观点,如有错误,敬请高手指点!

[ 本帖最后由 asia_ji 于 2008-4-11 09:20 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
gyren2006

论坛徽章:
0
22 [报告]
发表于 2008-04-11 10:36 |只看该作者

回复 #21 asia_ji 的帖子

.!!!!!!!!!!!!!!!

[ 本帖最后由 gyren2006 于 2008-4-22 15:55 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
anthonyfeng

论坛徽章:
0
23 [报告]
发表于 2008-04-13 19:46 |只看该作者
楼主说:linux中了ARP攻击,将MAC地址和IP绑定不起来,怎么办?

可是没有说网络运作正常否。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
huzi1986

论坛徽章:
0
24 [报告]
发表于 2008-04-13 20:43 |只看该作者
绑定网关的IP+MAC地址

所周知,虽然LINUX不会有ARP病毒,但是难免有WINDOWS服务器在一起,这样我们可以定时地把网关的IP+MAC 地址

使用arp -f

-f 是指绑定来自一文件  文件的格式为ip 加一空格 后面为MAC地址


[root@mail ~]# vi arp.conf
192.168.0.1 00:17:16:01:B2:1C   #ROUTES_IP


然后arp -f arp.conf
没有绑定的SERVER

[root@server ~]# arp -a
? (192.168.6.202) at 00:02:A5:46:07:B2 [ether] on eth1
? (192.168.0.53) at 00:0E:A6:12:14:E7 [ether] on eth0
? (192.168.0.10) at 00:0B:CD:1C:11:6C [ether] on eth0
? (192.168.0.33) at 00:0B:CD:1C:0A:C3 [ether] on eth0
? (192.168.0.15) at 00:0C:6E:08:0A:4B [ether] on eth0
? (192.168.0.1) at 00:17:16:01:B2:1C [ether] on eth0

绑定的SERVER


[root@mail ~]# arp -a
? (192.168.0.1) at 00:17:16:01:B2:1C [ether] PERM on eth0
? (192.168.0.12) at 00:1D:0F:0D:F0:0D [ether] on eth0
? (192.168.0.53) at 00:0E:A6:12:14:E7 [ether] on eth0

[root@mail ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.0.1              ether   00:17:16:01:B2:1C   CM                    eth0
192.168.0.12             ether   00:1D:0F:0D:F0:0D   C                     eth0
192.168.0.53             ether   00:0E:A6:12:14:E7   C                     eth0
[root@mail ~]#

M标莶代理已经成功进行静态绑定

添加到计划任务

每五分钟执行一次

*/5 * * * * /sbin/arp -f arp.conf
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
gyren2006

论坛徽章:
0
25 [报告]
发表于 2008-04-14 09:58 |只看该作者

回复 #1 gyren2006 的帖子

网络还可以运行的,外网卡地址是:172.22.45.8 网关是:172.22.45.1内网卡地址是:192.168.1.1 每次客户端先开机后,再开服务器,总有10台机器上显示受到来自192.168.1.1的ARP,但是还是可以上外网的.我现在的做法是将50台客户端的ARP和IP写入服务器/etc/ethers内.看了几位大哥的帖子我也搞不清楚是否也要把 server的内卡绑定一下
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP