linux下防御arp欺骗的解决办法

　现在网络执法官、P2P终结者常常出现在局域网中胡搞瞎搞，使得网速变慢了，糟糕的话还断网。在windows中只要有“反p2p终结者”或arp防火墙

　　“antiarp”，就可以轻松解决问题，在linux下呢，以下方法操作是在ubuntu下进行。


　　如何知道自己被用arp欺骗攻击呢？


　　在终端输入arp，如果除了显示网关IP和MAC地址外，还出现别的计算机的IP和地址的话，说明你现正被出现的那台计算机攻击，不爽的话可以直接走过去按下他的Power键，要是懒得去的话，那就继续看吧。


　　步骤一. 在能上网时，在终端输入命令：arp，查看网关IP对应的正确MAC地址，（因为受攻击后，网关MAC地址会变成发动攻击的那台计算机的MAC地址，最简单的就是多输命令arp几次，直到显示的MAC地址和其他计算机的MAC地址不同时，就是网关IP对应的正确MAC地址了）将其记录下来。 注：如果已经不能上网，则先运行一次命令arp –d，将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp。


　　步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。步骤如下：

sudo arp -s x.x.x.x xx:xx:xx:xx:xx:xx
(其中x.x.x.x是网关的IP地址，xx:xx:xx:xx:xx:xx是网关的mac地址)
sudo ifconfig eth0 -arp
每一次电脑重启后以上操作会失效，需要再运行一次。

　　很多人说以上步骤要修改配置文件很麻烦，这是一个图形界面的解决方式：
　　用鼠标点击“系统”->“首选项”->“会话”，点击“新建”按钮，在名称一栏输入一个名字，如arp-static，命令一栏中输入 gksu “/usr/sbin/arp -s x.x.x.x xx:xx:xx:xx:xx:xx”，最后确定，然后在“启用”前打上勾，这样每次启动ubuntu进入桌面的时候，您只要输入密码就可以运行绑定命令了。(其中x.x.x.x是网关的IP地址，xx:xx:xx:xx:xx:xx是网关的mac地址)


预防措施

　　1.建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。



　　2.建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。



　　3.网关机器关闭ARP动态刷新的过程，使用静态路邮，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。
网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：
　　192.168.2.32 08:00:4E:B0:24:47

　　然后再/etc/rc.d/rc.local最后添加：
　　arp -f 生效即可


本文转自 ☆★ 黑白前线 ★☆ - www.hackline.net 转载请注明出处，侵权必究！
原文链接：http://www.hackline.net/a/special/linux/safe/2010/0617/4501.html