设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 Linux 发行版讨论区 —— LinuxSir.cn Archlinux讨论区 【讨论一下】arch下关于防arp攻击的办法
123下一页
返回列表 发新帖
楼主: blance

【讨论一下】arch下关于防arp攻击的办法

[复制链接]
latteye
发表于 2008-1-5 21:18:08 | 显示全部楼层
Post by cwjiof;1802424
OpenBSD下大名鼎鼎的Stateful Packet Filter (PF)有没有移植到Linux中去?有谁知道说一声。
一般Stateful FireWall就用PF,而Statefuless FireWall用Iptables就可以了。


这个PF和 iptables 实现的功能有哪些差别?
回复 支持 反对

使用道具 举报

blance
 楼主| 发表于 2008-1-7 13:56:45 | 显示全部楼层
Post by latteye;1803479
网络剪刀手的原理是伪造客户端。也就是说,他欺骗的对象是网关。
在这种情况下,除非网关具有一定的防护措施。不然,客户端再怎么设定都是徒劳。

一些极端的考虑,比如客户端每秒发送一次arp包就没啥讨论的必要了。

这种情况没啥必要和客户端的防护一起讨论了。


这样解释=防火墙不能阻止网络剪刀手了?

我做了测试,win下装上arp防火墙后,剪刀手就不能阻止该机器上网了,帮忙分析一下?
回复 支持 反对

使用道具 举报

drivel
发表于 2008-1-7 14:59:44 | 显示全部楼层
我是先在网关绑定我的IP,然后arp -r
回复 支持 反对

使用道具 举报

latteye
发表于 2008-1-8 11:27:48 | 显示全部楼层
Post by blance;1803981
这样解释=防火墙不能阻止网络剪刀手了?

我做了测试,win下装上arp防火墙后,剪刀手就不能阻止该机器上网了,帮忙分析一下?

现在的 ARP 防火墙都是从两方面操作的。
1.第一种是拦截ARP的攻击或者是IP冲突,保障系统不会受ARP攻击的影响;
2.防止恶意攻击程序篡改本机的ARP缓存表。--其实就是 arp -s

说的再简单一点。
第一种就是不断的广播(在明确网关的情况下,理论上单播亦可)自己的mac-ip信息。让网关不会受到ARP攻击方的影响。这种方式对网络负载有一点影响。不过局域网内,基本都可以承受。

第二种即使在本地将网关 mac 地址列为静态地址。这样就不会被篡改了。

你说的网络剪刀手,用第一种方法就可以了。


其实我之前提过了“每秒向网关发送一次 arp 包就不用讨论了。”其实就是指的第一种情况,可能说的不是很清楚。
回复 支持 反对

使用道具 举报

SCys
发表于 2008-1-9 03:28:20 | 显示全部楼层
latteye能否给出第一种的方法操作?
我现在是经常收到arp攻击.
arp -f来抵抗的.
---
iptable 好像无法对arp攻击防护.
在论坛的网络版块里面有相关的说明.
网络层次不同.
回复 支持 反对

使用道具 举报

latteye
发表于 2008-1-9 11:45:01 | 显示全部楼层
稍微看了一下。最基本的思路就是向网关发送 ARP 响应包。大家可以先看看这个代码:

http://www.chinaunix.net/jh/4/267861.html

我自己没有编译通过。(编程水平太烂了)不过很久以前 linux 环境下是有 arpsniffer 工具的。大概是 02-03 年的时候我看《黑客X档案》上有的,但是现在找不到下载了。通过这些arpsniffer工具不断的向网关发送ARP响应包就可以了。

Linux下目前较为流行的 sniffer 有ettercap。我并不是很熟悉。尝试使用了以下命令:

ettercap -T -M arp remote /172.16.7.128/ /172.16.7.1/ >/dev/null &

这行命令意思应该是 欺骗 172.16.7.1 我的ip是 172.16.7.128。7.1是网关。其实我“骗”他,说的是实话。在这个操作中,本机一定会想网关发送ARP响应包,因为有嗅探的输出内容,所以我都丢掉了。

但问题在于,他是否会持续的发送 arp 响应包。或者,当本身被人arp 欺骗后,能否自己发现,并再向网关发送响应包。这些我都没有测试。

有兴趣的朋友可以试试找一些 arp sniffer 工具。
回复 支持 反对

使用道具 举报

latteye
发表于 2008-1-9 13:49:26 | 显示全部楼层
已经找到解决办法了。可以参考Neeao 的文章: http://www.neeao.com/blog/article-4748.html

arptables 工具,我已经制作好了 PKGBUILD 放在了 aur:
http://aur.archlinux.org/package ... mp;SO=&

喜欢的朋友投个票吧~
回复 支持 反对

使用道具 举报

cwjiof
发表于 2008-1-9 15:11:52 | 显示全部楼层
其实呢,arptables这个工具是要安装到网关的,不然作用不大。其用法与iptables相似。

如果是个人的电脑,可以使用“arping”这个工具,个人觉得还算不错:
http://www.habets.pp.se/synscan/programs.php?prog=arping

用法:
/sbin/arping -c 次数 -s your_IP gateway_IP
回复 支持 反对

使用道具 举报

latteye
发表于 2008-1-9 15:48:23 | 显示全部楼层
Post by cwjiof;1804776
其实呢,arptables这个工具是要安装到网关的,不然作用不大。其用法与iptables相似。

如果是个人的电脑,可以使用“arping”这个工具,个人觉得还算不错:
http://www.habets.pp.se/synscan/programs.php?prog=arping

用法:
/sbin/arping -c 次数 -s your_IP gateway_IP

太棒了,看起来这个才是最对症的药方。这个命令在 iputils 包里面了。
回复 支持 反对

使用道具 举报

SCys
发表于 2008-1-9 19:22:50 | 显示全部楼层
上面那个用过,这个和攻击我的人,有什么分别?
没有万不得已,还是不用.
继续arp -f静态.
回复 支持 反对

使用道具 举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表