`
gcgmh
  • 浏览: 354931 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

用linux 机器配置网关且绑定ip和mac地址防止arp攻击

阅读更多
最近一段时间为一个项目做项目实施,其中涉及到了使用CentOS5.1操作系统假设一台网关服务器的问题,要通过其实现外网计算机访问不到内网的主机,内网中仅指定的主机才可以访问外网的功能,经过一番测试之后终于能够实现了,现在将实现的过程记录下来,以备今后的不时之需。
    一、所需软件:安装了自带的iptables防火墙的CentOS5.1操作系统
    二、前提准备:
        1.进行网关的相关配置,为了方便起见,使用root用户登录到系统中;
        2.首先对网关服务器的两块网卡进行网络设置,其中内网网卡设置的时候网关的地址空白,设置好之后检查一下网关服务器是否能够上外网,以及与内网是否已经联通。均联通之后将内网网卡和外网网卡的设备号分别记录下来。(在本例中,内网网卡设备号为eth0、外网网卡设备号为eth1)
        3.要实现内网主机可以通过网关服务器上外网的功能,需要将网关操作系统中的数据包转发功能开启,可以通过sysctl -A命令查看当前内核参数设置,找到其中net.ipv4.ip_forward项查看其对应的参数值(0表示未开启,1表示开启)
        4.如果在上一项中发现的参数值为0,则需要将内核的数据包转发功能开启,具体实现方式为:
            输入vi /etc/sysctl.conf命令打开配置文件,找到其中net.ipv4.ip_forward所在的行,将"="后面的数值由0更改为1,之后将文件保存后退出vi编辑器。
        5.将配置文件修改完成后,可以使用sysctl -p /etc/sysctl.conf命令或将操作系统重新启动,以使参数生效。此时准备工作已经完成,接下来对防火墙的规则进行配置即可。
    三、ipables规则设置:
        1.此例中使用CentOS自带的功能强大的iptables防火墙来实现上述的要求,此时需要对iptables的规则进行设置,运行vi /etc/sysconfig/iptables命令,打开规则配置文件,按照下面给出的配置文件模板进行设置:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
#new add
-A INPUT -i eth0 -j ACCEPT  
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
#new add
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
#new add 
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#增加到这个表的内网ip才能上网
-A POSTROUTING -s 10.0.0.102 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.0.0.254 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.0.0.19 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.0.0.233 -o eth1 -j MASQUERADE
COMMIT
# Completed


2.编辑好规则配置文件后,保存并退出vi编辑器。
        3.只有运行service iptables status查看系统当前iptables服务的状态。如果为stop,则使用service iptables start命令将其开启即可;如果为Start,则使用service iptables restart命令将其重新启动以使新的规则设置生效。
        4.此时即可实现网关服务器的设置,可以到那台允许访问外网的主机上访问一下外网以检测设置是否

========================================
防止arp攻击的双向绑定
服务器端:
vi /etc/ethers 增加
192.168.0.60  00-10-ac-9d-35-4d(windows机器的ip及mac地址)
192.168.0.61  00-0a-cb-20-4f-f5
然后用arp -f启动并在/etc/rc.d/rc.local最后添加:arp -f即可



在windows机器上,编辑一个arp.bat放到启动里面,bat文本的内容:
@echo off  
arp -d  
arp -s 192.168.1.2 00-04-61-9A-8D-B2(网关的ip及mac地址)
exit 

分享到:
评论

相关推荐

    WINDOWS下绑定ARP绑定网关.doc

    【Linux下绑定IP和MAC地址】 1. **检查ARP缓存**:在Linux中,使用`arp`和`arp -a`查看当前的ARP缓存列表。 2. **绑定步骤**:确保网关已对子网内所有设备进行了绑定。在Linux主机上,使用`echo "ip link set dev ...

    Linux防止ARP攻击一些方法总结linux操作系统电脑资料.doc

    - 可以编写一个Shell脚本来自动执行上述操作,例如`arpDefend.sh`脚本,脚本中包含了静态绑定网关MAC,以及使用`arpoison`发送ARP回复以更新目标IP的MAC地址。 5. **启用ARP代理**: - 在某些网络环境中,可以...

    ensp加kali实现arp欺骗攻击

    本文将深入探讨如何使用Kali Linux这一专业安全操作系统,配合ENSPI(Ethernet Network Simulation Platform,以太网网络模拟平台)来实现ARP欺骗攻击,并了解这种攻击可能导致的后果。 首先,我们需要理解ARP的...

    关于局域网arp攻击mac地址欺骗的解决方法 .pdf

    1. **静态ARP绑定**:网络管理员可以在每台工作站上手动设置静态ARP条目,将网关的IP地址与正确的MAC地址绑定,防止动态更新。例如,创建批处理文件`arp.bat`,添加到启动项中,执行`arp -d`清除现有ARP缓存,然后...

    使用kali linux实现arp欺骗

    7. ARP欺骗的防御:文件中提到了一种防御方法,即在Windows系统中使用“arp -s 网关IP 网关MAC”命令,将网关的IP地址和MAC地址进行静态绑定,这样即使收到ARP欺骗攻击,主机的ARP缓存表也不会被修改,从而保护了...

    如何防局域网arp攻击

    2. **静态绑定IP-MAC映射**:在每台主机上手动设置一个IP-MAC静态绑定表,这样即使有攻击者试图伪造IP-MAC映射,主机也不会接受这些伪造的信息。对于Windows系统,可以通过`arp -s IP地址 MAC地址`命令来进行静态...

    wireshark抓包协议解读及ARP攻击和泛洪攻击.docx

    防范ARP攻击的方法之一是进行MAC地址绑定,通过`arp -s`命令将正确的IP和MAC地址关联。 【ICMP协议】ICMP,Internet控制报文协议,是TCP/IP协议栈的一部分,用于在网络中传递控制消息,如错误报告和路径探测。通过`...

    linux中mac地址绑定方法

    一台linux服务器受到ARP攻击,在使用arp -s绑定网关地址时发现命令不能正常使用.绑后网络会断.后经前辈指点在/etc下创建ethers文件.在文件添加,例如192.168.1.25 00:17:31:C3:A3:C4内容.然后执行arp -f即可,完成...

    linux下arp欺骗源代码

    在Linux环境下,开发者可以直接利用系统调用来实现底层网络操作,如`sendto()`和`recvfrom()`用于发送和接收网络数据,`socket()`创建网络套接字,`bind()`绑定IP和端口,以及`setsockopt()`设置套接字选项等。...

    linux下原始socket实现ARP局域网欺骗工具

    ARP欺骗是一种网络安全攻击手段,攻击者通过发送虚假的ARP响应来篡改网络设备的IP到MAC地址映射,从而控制或监视网络流量。 首先,理解ARP协议是至关重要的。ARP是TCP/IP协议栈的一部分,用于将IPv4地址映射到物理...

    ARP.rar_arp

    5. **防止ARP欺骗**:为了防止ARP欺骗,可以采用静态ARP绑定,即手动将IP地址与对应的MAC地址绑定,避免依赖动态获取。此外,还可以启用ARP防欺骗功能,如在路由器或交换机上配置,或者使用ARP代理软件。 6. **ARP...

    安全相关-系统安全-arp断网攻击工具(arpspoof) v1.0-(0).zip

    2. 使用静态ARP绑定:手动配置IP和MAC地址的对应关系,避免动态ARP解析带来的风险。 3. 部署ARP防欺骗软件:有些网络安全软件具有防止ARP欺骗的功能,可以实时监控并阻止非法ARP请求。 4. 使用安全网络架构:如使用...

    Arp防攻击软件包免费下载

    1. **ARP绑定**:AntiArp可以将正确的IP与MAC地址对绑定,防止虚假ARP信息的影响。这使得网络设备只信任已知的、正确的IP-MAC映射,增强了网络安全性。 2. **动态防护**:该软件能够实时监控ARP请求和响应,一旦...

    Ethernet ARP发送

    2. **ARP请求与响应**:ARP请求包含发送方的IP和MAC地址以及目标IP地址,而ARP响应则包含发送方和接收方的IP和MAC地址。 3. **ARP缓存**:操作系统会存储已知IP地址与MAC地址的对应关系,称为ARP缓存。当需要新的...

    Linux使用libnet实现ARP攻击脚本原理分析以防被攻击

    内网机器接收到这种广播包之后,会刷新自己ARP缓存表,把网关的IP和广播包中的源MAC绑定。这样攻击机器就达到了冒充网关的目的。上次一所大学就是被ARP欺骗攻击,他们的学校主页一打开就会跳出其他很多乱七八糟的...

    kali—局域网瞬间断网.docx

    - 使用ARP绑定,将IP和MAC地址静态绑定,避免被虚假ARP响应影响。 - 部署ARP防护软件,如360安全防护中心,开启“入口防护—局域网防护”功能,它可以检测并阻止非法的ARP请求,保护网络不受攻击。 - 在路由器或...

    redhat双网卡绑定

    本文将详细介绍如何在Redhat Linux中进行基本的网络配置以及如何将两个物理网卡绑定成一个逻辑上的单一网卡,以提高网络连接的稳定性和可用性。 #### 二、基本网络配置 1. **/etc/hosts** - 配置文件路径:`/etc/...

    arpspoof-master

    5. **安全风险**:了解ARP欺骗可能导致的数据泄露、隐私侵犯和网络服务中断等问题,以及如何防范此类攻击,如使用静态ARP配置、ARP绑定或部署入侵检测系统。 6. **道德黑客与安全测试**:虽然`arpspoof`可能被用于...

Global site tag (gtag.js) - Google Analytics