如何在路由上建立静态IP，MAC防止ARP欺骗？

sblive · 发表于 2005-2-7 16:22:47

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

最近发现ARP欺骗实在太多了，无论是WIN2K还是LINUX作网关均无法防止。我找了篇文章大家看看。。防范 1.建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，使主机更加安全）另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。 2.建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。 3.网关机器关闭ARP动态刷新的过程，使用静态路邮，这样的话，即使HostB欺骗攻击网关，也是没有用的，确保主机安全。网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下： 192.168.2.32 08:00:4E:B0:24:47 然后再/etc/rc.d/rc.local最后添加： arp -f 生效即可这样建议静态的对应关系行不行啊？在COYOTE中可以这样做吗？有效果吗？我都快搞怕了。。郁闷。

sblive · 发表于 2005-2-7 16:34:11

我倒。。COYOTE似乎没有ARP命令。。

suqunmu · 发表于 2005-2-8 00:22:57

sblive 你现在改用cl了。不用routeos啦我可是routeos的粉丝啊。其他的接触少啊，不会啊～

mickeyz · 发表于 2005-2-8 00:39:05

哈哈用打了ARP补丁的核心，在启动脚本里加入：while true;dosend_arp 192.168.0.1 00:40:CA:6F:8B:55 192.168.0.1 ff:ff:ff:ff:ff:ffsleep 1done其中192.168.0.1为你的服务器的IP地址00:40:CA:6F:8B:55为你的服务器的mac地址。它每隔一秒锺广播一次自己的mac地址，这样的话，就是别人改为你想同的ip地址也没办法了。是这样吗？

EMP · 发表于 2005-2-8 02:11:39

http://www.routerclub.com/ipb/index.php?showtopic=5067看看这个吧

sblive · 发表于 2005-2-8 08:59:23

楼上几位，EMP兄发的SENDARP是每2秒广播一次，不过我试过了，只对下面的客户机修改成网关IP时有效，每2秒提示一下有IP冲突。。但对大规模的ARP欺骗来说几乎无效！大家用用ARPKILLER试试。。。ROS的绑定作用有限。。。。。更不行。。

sblive · 发表于 2005-2-8 09:00:15

QUOTE (mickeyz @ Feb 8 2005, 12:39 AM)
哈哈用打了ARP补丁的核心，在启动脚本里加入：while true;dosend_arp 192.168.0.1 00:40:CA:6F:8B:55 192.168.0.1 ff:ff:ff:ff:ff:ffsleep 1done其中192.168.0.1为你的服务器的IP地址00:40:CA:6F:8B:55为你的服务器的mac地址。它每隔一秒锺广播一次自己的mac地址，这样的话，就是别人改为你想同的ip地址也没办法了。是这样吗？
我也更改成老大发的那个LINUX核心文件，594K的吧？把这个脚本加到哪里去啊？？

EMP · 发表于 2005-2-8 12:59:39

QUOTE (sblive @ Feb 8 2005, 08:59 AM)
楼上几位，EMP兄发的SENDARP是每2秒广播一次，不过我试过了，只对下面的客户机修改成网关IP时有效，每2秒提示一下有IP冲突。。但对大规模的ARP欺骗来说几乎无效！大家用用ARPKILLER试试。。。ROS的绑定作用有限。。。。。更不行。。
你们要防ARP的话。。最好最切底还是去买个交换机。从交换机下手。把ip和MAC绑定吧。这才是最好的方法

bow · 发表于 2005-2-8 18:51:19

治标不治本，还得在交换机上控制

sblive · 发表于 2005-2-8 20:48:20

不一定要交换机的。WIN2K+SP4绑定下面的IP和MAC就可以防止网络执法官的控制了！

bow · 发表于 2005-2-9 00:53:11

QUOTE (sblive @ Feb 8 2005, 08:48 PM)
不一定要交换机的。WIN2K+SP4绑定下面的IP和MAC就可以防止网络执法官的控制了！
但他让你脱离网络，你也没有办法。别的机器都不认你。

muler2000 · 发表于 2005-2-10 19:23:41

Windows下可以在网关的PC SERVER上安装防火墙Visnetic Firewall可以挡住ARP欺骗包。已测试成功。大家可以试试。http://www.deerfield.com/products/visnetic...ll/screenshots/

mickeyz · 发表于 2005-2-10 20:25:13

CL里的防火墙不能设置吗?

DreamCat · 发表于 2005-2-11 12:53:52

CL 当中可以使用iptables针对MAC地址进行控制的，不过如果客户机如果伪装成网关还是没办法，使用交换机似乎是唯一的解决方案。

jk0wg · 发表于 2005-2-11 15:02:35

如果是内网ARP的话.. 很简单的就可以检测出ARP欺骗的机器了.. 交换机上或者是路由器上做限制都不太现实.. 交换机限制的话.除非所有交换机都支持绑定MAC地址.. 但是网吧的话.一般是只有中心交换机才有这样的功能了.. 很少有网吧全用L2以上的交换机.基本上都是一台L2以上的交换机+L1交换机组网..

账号		自动登录	找回密码
密码			注册