`
hikin
  • 浏览: 266127 次
  • 性别: Icon_minigender_1
  • 来自: 上海
文章分类
社区版块
存档分类
最新评论

总结一下:linux防arp攻击的方法

阅读更多
windows下放arp攻击可以用金山ARP防火墙,把网关ip和MAC填上,然后选项里把安全模式的钩勾上就基本没什么问题。Linux没找到这么现成的东西,baidu google上找了一些方法,都自己试过一遍,不是非常管用。

进行arp攻击要做两件事情:
1、欺骗目标机器,攻击机器A告诉目标机器B:我是网关!
2、欺骗网关,攻击机器A告诉网关:我是B!

也就是A进行双向欺骗。
这样做以后目标机器B发给网关的数据包都让攻击机器A给没收了,没有发给网关,所以B就上不了网了。要让B能上网,A需要将从B收到的包转发给网关。(有时候开P2P终结这之类的软件的时候发现别人上不了网了,有时候是因为自己有一个NB的防火墙,有时侯是其他原因,从被控制的机器上发过来的包没有能转发给网关,所以。。。)

我在网上找了一些关于Linux怎么防arp攻击的文章,基本上有这么几种做法。
1、绑定IP-MAC。通过arp -s 或者 arp -f。我就咬定哪个是网关了,你们谁说的话我都不信!
但是有个缺点,必须双向绑定IP-MAC,如果你无法控制路由器,不能在网关那里设置静态IP,这个方法就无效了。
2、既然控制不了网关,我只能告诉网关哪个才是真正的我了。向网关发送自己的IP和MAC。也就是告诉网关:我才是XXX。
(1)用arping,或者arpspoof(arpsniffer)。
  命令:arping -U -I 网卡接口 -s 源IP 目标IP
由于命令里面没有指定网关的MAC,所以形同虚设,效果不好。
(2)用arpoison或者ARPSender,可以指定MAC,效果算是比较好,但有时候还是不行。
  命令:arpoison -i 网卡接口 -d 网关IP -s 我的IP -t  网关MAC  -r 我的MAC
参考了这篇文章:http://hi.baidu.com/yk103/blog/item/f39e253f9d6aeeed55e72361.html
我用Wireshark看了一下,发现虽然我指定了目标的MAC,但是我的机器依然会间歇性地往攻击机器发送我的IP和MAC,然后攻击机器利用我的MAC进行双向欺骗。

所以我想,有没有什么办法不让除了网关之外的其他人知道我的MAC呢?后来就找到了一下这篇文章。

文章地址:http://www.kanwi.cn/read-348.html
文章内容:(因为原文地址访问非常慢所以在这里贴出来)
Linux/FreeBSD防止ARP欺骗的一种 被动方法(隐藏MAC)
作者: Knight  日期: 2008-11-17 14:15

文章作者:Helvin
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

首先对国内某些IDC不负责任的行为表示抗议

一般欺骗机器通过ARP Request获得网关的MAC,然后同样方法获得你服务器的MAC进行双向欺骗,然后sniffer密码,挂马之类。
国内几乎所有的IDC都是几百服务器公用一个网关的。然后上百个服务器总有几个有漏洞的,然后你就被ARP欺骗挂马或者抓密码了

下面介绍的是Linux 利用arptables来防止ARP Request获得你的MAC。这样攻击者会认为你的服务器是不存在的(本来很复杂的,需要patch编译内核什么的,上周才发现还有一个 arptables,免编译内核,现在把方法写一下)

Debian/Ubuntu:(runas sudo)CentOS/RHAS 叫arptables_jf
引用:

apt-get install arptables
arptables -A INPUT --src-mac ! 网关MAC -j DROP
arptables -A INPUT -s ! 网关IP -j DROP


如果你有本网的内网机器要互联,可以 引用:

arptables -I INPUT --src-mac 你的其他服务器MAC ACCEPT


如果你的MAC已经被欺骗机器拿到,那只能ifconfig ethx hw ether MAC来修改了

有一定的危险性,请酌情测试,你也可以疯狂刷新网关+本机ARP绑定,看具体需要
还要注意这个时候不要发出ARP Request到除网关以外的其他IP,其后果可能是被其他机器拿到MAC

补充一个FreeBSD下的隐藏MAC的方法
首先sysctl net.link.ether.ipfw=1开启IPFW ether层过滤功能(网桥模式要使用sysctl net.link.ether.bridge_ipfw=1)
然后
ipfw add 00005 allow ip from any to any MAC 网关MAC any /* 打开你到网关的通信 */
ipfw add 00006 allow ip from any to any MAC any 网关MAC /* 打开网关到你的通信 */
/* ........中间你可以添加本网段内需要互联的IP地址MAC双向通信........ */
ipfw add 00010 deny ip from any to any MAC any any /* 关闭所有其他MAC的任何响应 */

如果服务器作为内网网关使用,可以在内网网卡界面
ifconfig em1 -arp /* 关闭ARP响应(假设em0是内网网卡) */
arp -f /etc/arp.list /* 设置静态ARP表 */
以下是ARP(8) 关于arp.list格式的描述,
Cause the file filename to be read and multiple entries to be set
in the ARP tables. Entries in the file should be of the form

hostname ether_addr [temp] [pub]

with argument meanings as given above. Leading whitespace and
empty lines are ignored. A `#' character will mark the rest of
the line as a comment.

我觉得可以把 绑定IP-MAC + arposion + MAC隐藏的方法综合起来
转自 http://hi.baidu.com/aj_shuaikun/blog/item/ab39b3d982a59fe038012fd0.html
分享到:
评论

相关推荐

    Linux防止ARP攻击一些方法总结linux操作系统电脑资料.doc

    在Linux系统中,有几种有效的方法可以防止ARP攻击: 1. **绑定网关MAC地址**: - 使用`arp`命令查看当前网关的IP和MAC地址。 - 编辑 `/etc/safe` 文件,将网关IP和MAC地址写入,例如:`218.65.22.122 80:fb:06:f2...

    arp广播发送和接收linux程序

    例如,可以用来测试网络中是否存在ARP响应延迟问题,或者用于模拟ARP攻击以检测网络的防御能力。 总结,理解ARP协议及其在Linux环境下的编程实现对于深入理解网络通信至关重要。通过编写发送和接收ARP广播的程序,...

    linux下面 arp协议实现和测试用例

    在Linux操作系统中,ARP(Address Resolution...总结,Linux下的ARP协议实现涉及内核、用户空间工具和配置,其测试用例涵盖了正常和异常情况,包括数据包的发送和接收。理解并掌握这些知识对于网络管理和维护至关重要。

    ARP欺骗与中间人欺骗实验

    ### ARP欺骗与中间人攻击实验 #### 实验背景与意义 ARP(Address Resolution Protocol)欺骗是一种常见的网络攻击手段,通过篡改局域网内主机之间的ARP缓存表,使网络数据包流向攻击者,从而实现窃听、篡改数据等...

    信息安全技术:ARP毒化.pptx

    此外,还可以探索其他方式的ARP攻击,例如中间人攻击(Man-in-the-Middle,MITM)。 总结,ARP毒化是一种常见的网络安全威胁,它利用ARP协议的漏洞,对网络通信进行监控和干扰。了解其原理和防范措施是确保局域网...

    arp.rar_arp

    四、ARP攻击与防护 尽管ARP协议在实现网络通信中起到了关键作用,但也存在安全风险,如ARP欺骗。攻击者可以通过发送伪造的ARP响应,将流量导向错误的物理地址,导致数据泄露或中断。为此,网络管理员和系统开发者...

    arp-scan-1.6.tar.gz

    而arp-scan是一款强大的、开源的ARP扫描工具,用于检测网络上活动的设备,它可以帮助网络管理员识别网络中的主机、检测 ARP 欺骗或中间人攻击。本文将深入探讨arp-scan-1.6的特性、使用方法及其在网络安全中的应用。...

    详谈调用winpcap驱动写arp多功能工具.rar_arp_arp工具_pcap_winpcap_winpcap arp

    1. ARP欺骗检测:通过监听网络流量,工具可以检测到异常的ARP响应,这可能是由于ARP欺骗攻击,即中间人攻击的一种形式,攻击者发送虚假的ARP消息来篡改目标主机的IP-MAC映射,从而截取通信。 2. ARP缓存管理:工具...

    ARP.rar_arp

    6. **ARP命令行操作**:在Windows和Linux系统中,可以使用`arp`命令来查看、添加或删除ARP缓存条目。例如,`arp -a`显示当前ARP缓存,`arp -s`可以手动添加静态映射。 7. **ARP与网络安全**:了解ARP工作原理对网络...

    Linux使用libnet实现ARP攻击脚本原理分析以防被攻击

    ### Linux使用libnet实现ARP攻击脚本原理分析 #### 一、引言 ARP(Address Resolution Protocol,地址解析协议)是用于将网络层的IP地址转换为数据链路层的MAC地址的一种协议,在局域网中起着重要的作用。然而,...

    arp欺骗工具arpspoof.pdf

    总结来说,ARP欺骗攻击者通过发送伪造的ARP响应包,来破坏网络中的正常ARP缓存,导致数据包被错误地转发,使得攻击者能够在中间位置进行数据捕获或篡改。此类攻击在网络安全领域是一种常见的威胁,因此了解其原理和...

    arp.rar_ARP.r_arp_arp协议

    例如,如何使用命令行工具(如Windows的`arp -a`或Linux的`arp`命令)来查看或修改ARP缓存,或者如何处理ARP相关故障。 总结来说,ARP协议是网络通信中不可或缺的一部分,它实现了IP地址与物理地址的映射,使得数据...

    Ettercap-arp协议-链路层编程

    防范ARP欺骗的方法包括使用静态ARP表、实施ARP缓存验证和部署ARP防欺骗软件等。 总结起来,"Ettercap-arp协议-链路层编程"涵盖了以下几个核心知识点: 1. ARP协议的基本原理和工作流程。 2. Ettercap工具在ARP欺骗...

    sniffer_linux.rar_Sniffer_arp sniffer_sniffer linux_sniffer linu

    总结来说,"sniffer_linux.rar"提供了一个轻量级的Linux ARP嗅探工具,适用于学习网络抓包技术,尤其是ARP协议的监控。用户可以通过阅读提供的源代码和文档,提升自己的网络编程和网络管理能力。同时,这也是一种...

    第3章+ARP协议获得局域网内活动主机物理地code2

    在实际网络环境中,可以通过命令行工具(如Windows的arp命令或Linux的arp命令)来查看和管理ARP缓存,也可以编写程序利用socket库来实现ARP请求和响应的交互。 总结,ARP协议是局域网通信的基础,理解其原理和运作...

    实验2-ARP欺骗1

    实验主要使用了Kali Linux系统中的"arpspoof"工具,该工具允许攻击者向目标主机和网关发送伪造的ARP响应,从而实现中间人攻击。具体操作步骤如下: 1. 确保攻击机与被攻击机在同一局域网内,并检查网络连接。 2. ...

    arp toolsarp tools

    2. 防护方法:使用ARP绑定(静态ARP)、ARP防欺骗软件、网络设备的ARP防护功能、IP/MAC绑定等措施可以有效防止ARP欺骗。 四、常用的ARP工具 1. `arp`命令:在Windows和Linux系统中,内置的`arp`命令可以查看、添加...

    计算机网络安全实验——arp欺骗..doc

    2. **ARP攻击**:黑客主机C和D通过ARPattack程序对目标主机A和B的ARP缓存进行欺骗,将目标主机二的MAC地址更改为黑客主机的MAC,导致目标主机一发送的数据被黑客主机截获,目标主机二无法接收到数据。ARP缓存表的...

    arp嗅探相关渗透测试软件

    数据恢复在遭受ARP攻击后也可能变得重要,因为攻击可能导致数据丢失或被篡改。数据恢复工具,如Recuva、EaseUS Data Recovery Wizard等,可以在数据丢失后帮助找回重要文件。 总结来说,理解和掌握ARP嗅探相关渗透...

    《计算机网络安全》实验报告arp欺骗.doc

    2. ARP攻击:黑客主机向目标主机发送伪造的ARP响应,将目标主机的IP地址与自己的MAC地址关联,从而拦截通信。 3. 单向欺骗:一旦欺骗成功,目标主机的通信受到影响,数据被黑客主机截获,同时目标主机可能会尝试修复...

Global site tag (gtag.js) - Google Analytics