sblive
发表于 2005-2-7 16:22:47
最近发现ARP欺骗实在太多了,无论是WIN2K还是LINUX作网关均无法防止。我找了篇文章大家看看。。 防范 1.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,使主机更加安全)另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。 2.建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。 3.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使HostB欺骗攻击网关,也是没有用的,确保主机安全。 网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下: 192.168.2.32 08:00:4E:B0:24:47 然后再/etc/rc.d/rc.local最后添加: arp -f 生效即可 这样建议静态的对应关系行不行啊?在COYOTE中可以这样做吗?有效果吗?我都快搞怕了。。郁闷。
sblive
发表于 2005-2-7 16:34:11
我倒。。COYOTE似乎没有ARP命令。。
suqunmu
发表于 2005-2-8 00:22:57
sblive 你现在改用cl了。不用routeos啦我可是routeos的粉丝啊。其他的接触少啊,不会啊~
mickeyz
发表于 2005-2-8 00:39:05
哈哈用打了ARP补丁的核心,在启动脚本里加入:while true;dosend_arp 192.168.0.1 00:40:CA:6F:8B:55 192.168.0.1 ff:ff:ff:ff:ff:ffsleep 1done其中192.168.0.1为你的服务器的IP地址00:40:CA:6F:8B:55为你的服务器的mac地址。它每隔一秒锺广播一次自己的mac地址,这样的话,就是别人改为你想同的ip地址也没办法了。是这样吗?
EMP
发表于 2005-2-8 02:11:39
http://www.routerclub.com/ipb/index.php?showtopic=5067看看这个吧
sblive
发表于 2005-2-8 08:59:23
楼上几位,EMP兄发的SENDARP是每2秒广播一次,不过我试过了,只对下面的客户机修改成网关IP时有效,每2秒提示一下有IP冲突。。但对大规模的ARP欺骗来说几乎无效!大家用用ARPKILLER试试。。。ROS的绑定作用有限。。。。。更不行。。
sblive
发表于 2005-2-8 09:00:15
QUOTE (mickeyz @ Feb 8 2005, 12:39 AM)
哈哈用打了ARP补丁的核心,在启动脚本里加入:while true;dosend_arp 192.168.0.1 00:40:CA:6F:8B:55 192.168.0.1 ff:ff:ff:ff:ff:ffsleep 1done其中192.168.0.1为你的服务器的IP地址00:40:CA:6F:8B:55为你的服务器的mac地址。它每隔一秒锺广播一次自己的mac地址,这样的话,就是别人改为你想同的ip地址也没办法了。是这样吗?
我也更改成老大发的那个LINUX核心文件,594K的吧?把这个脚本加到哪里去啊??
EMP
发表于 2005-2-8 12:59:39
QUOTE (sblive @ Feb 8 2005, 08:59 AM)
楼上几位,EMP兄发的SENDARP是每2秒广播一次,不过我试过了,只对下面的客户机修改成网关IP时有效,每2秒提示一下有IP冲突。。但对大规模的ARP欺骗来说几乎无效!大家用用ARPKILLER试试。。。ROS的绑定作用有限。。。。。更不行。。
你们要防ARP的话。。 最好最切底还是去买个交换机。 从交换机下手。把ip和MAC绑定吧。这才是最好的方法
bow
发表于 2005-2-8 18:51:19
治标不治本,还得在交换机上控制
sblive
发表于 2005-2-8 20:48:20
不一定要交换机的。WIN2K+SP4绑定下面的IP和MAC就可以防止网络执法官的控制了!
bow
发表于 2005-2-9 00:53:11
QUOTE (sblive @ Feb 8 2005, 08:48 PM)
不一定要交换机的。WIN2K+SP4绑定下面的IP和MAC就可以防止网络执法官的控制了!
但他让你脱离网络,你也没有办法。别的机器都不认你。
muler2000
发表于 2005-2-10 19:23:41
Windows下可以在网关的PC SERVER上安装防火墙Visnetic Firewall可以挡住ARP欺骗包。已测试成功。大家可以试试。http://www.deerfield.com/products/visnetic...ll/screenshots/
mickeyz
发表于 2005-2-10 20:25:13
CL里的防火墙不能设置吗?
DreamCat
发表于 2005-2-11 12:53:52
CL 当中可以使用iptables针对MAC地址进行控制的,不过如果客户机如果伪装成网关还是没办法,使用交换机似乎是唯一的解决方案。
jk0wg
发表于 2005-2-11 15:02:35
如果是内网ARP的话.. 很简单的就可以检测出ARP欺骗的机器了..交换机上或者是路由器上做限制都不太现实.. 交换机限制的话.除非所有交换机都支持绑定MAC地址..但是网吧的话.一般是只有中心交换机才有这样的功能了..很少有网吧全用L2以上的交换机.基本上都是一台L2以上的交换机+L1交换机组网..