爱华网现在网络执法官、P2P终结者常常出现在局域网中胡搞瞎搞,使得网速变慢了,糟糕的话还断网。在windows中只要有“反p2p终结者”或arp防火墙
“antiarp”,就可以轻松解决问题,在linux下呢,以下方法操作是在ubuntu下进行。
用静态arp.这种方法就是通过在 /etc/ethers 建立ip和mac地址对应记录。然后用arp-f来读取记录。这样将网关的mac地址和ip都建立在静态arp文件里。就不容易被arp欺骗了。还可以配合关闭arp解析,用ifconfigeth0 -arp
如何知道自己被用arp欺骗攻击呢?
在终端输入arp,如果除了显示网关IP和MAC地址外,还出现别的计算机的IP和地址的话,说明你现正被出现的那台计算机攻击,不爽的话可以直接走过去按下他的Power键,要是懒得去的话,那就继续看吧。
步骤一.在能上网时,在终端输入命令:arp,查看网关IP对应的正确MAC地址,(因为受攻击后,网关MAC地址会变成发动攻击的那台计算机的MAC地址,最简单的就是多输命令arp几次,直到显示的MAC地址和其他计算机的MAC地址不同时,就是网关IP对应的正确MAC地址了)将其记录下来。注:如果已经不能上网,则先运行一次命令arp–d,将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。步骤如下:
sudo arp -s x.x.x.x xx:xx:xx:xx:xx:xx
(其中x.x.x.x是网关的IP地址,xx:xx:xx:xx:xx:xx是网关的mac地址)
sudo ifconfig eth0 -arp
每一次电脑重启后以上操作会失效,需要再运行一次。
很多人说以上步骤要修改配置文件很麻烦,这是一个图形界面的解决方式:
用鼠标点击“系统”->“首选项”->“会话”,点击“新建”按钮,在名称一栏输入一个名字,如arp-static,命令一栏中输入gksu "/usr/sbin/arp -s x.x.x.xxx:xx:xx:xx:xx:xx",最后确定,然后在“启用”前打上勾,这样每次启动ubuntu进入桌面的时候,您只要输入密码就可以运行绑定命令了。(其中x.x.x.x是网关的IP地址,xx:xx:xx:xx:xx:xx是网关的mac地址)
预防措施
1.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。
2.建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。
3.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。
网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加:
arp -f 生效即可
第3种方法
采用arping
babo@babo-laptop:~$ arping
Usage: arping [-fqbDU***] [-c count] [-w timeout] [-I device] [-ssource] destination
-f : quit on first reply
-q : be quiet
-b : keep broadcasting, don't go unicast
-D : duplicate address detection mode
-U : UnsolicitedARPmode,update your neighbours
-A :ARPanswermode, update your neighbours
-V : print version and exit
-c count : how many packets to send
-w timeout : how long to wait for a reply
-I device : which ethernet device to use (eth0)
-s source : source ip address
destination : ask for what ip address
用法举例:比如我的ip 192.168.1.101 网关:192.168.1.1
就用arping -U -I eth0 -s 192.168.1.101 192.168.1.1
显示结果如下
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.999ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]9.571ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.245ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.227ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.390ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]4.526ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.294ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.245ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.239ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.266ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.259ms
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]1.267ms
Sent 12 probes (1 broadcast(s))
Received 12 response(s)
终极解决办法
采用arpoison来解决是最好的办法了,这个办法还是参考了《linux下arp攻击的解决方案[原]》的办法。
arpoison需要libnet的库才能正确编译,所以要下载libnet和arpoison两个软件。
arpoison主页
http://www.arpoison.net/
libnet主页
http://www.packetfactory.net/libnet
安装
现安装libnet,因为是源代码编译,需要gcc等我就不说了。去查看具体ubuntu源代码安装需要的软件包吧
tar zxvf libnet.tar.gz
cd libnet/
sudo ./configure
sudo make
sudo make install
编译过程中,会提示也些警告,没有关系。反正安装后,有/usr/lib/libnet.a就可以了
然后安装arpoison
tar zxvf arpoison-0.6.tar.gz
cd arpoison/
sudo gcc arpoison.c /usr/lib/libnet.a -o arpoison
sudo mv arpoison /usr/sbin
babo@babo-laptop:~$ sudo arpoison
Usage: -i <device> -d<dest IP> -s <srcIP> -t <target MAC> -r<src MAC> [-a] [-w time betweenpackets] [-n number to send]
说明
-i 指定发送arp包的网卡接口eth0
-d 192.168.1.1 指定目的ip为192.168.1.1
-s 192.168.1.101 指定源ip为192.168.1.101
-t ff:ff:ff:ff:ff:ff指定目的mac地址为ff:ff:ff:ff:ff:ff(arp广播地址)
-r 00:1c:bf:03:9f:c7 指定源mac地址为00:1c:bf:03:9f:c7
比如我想防止arp攻击
sudo arpoison -i eth0 -d 192.168.1.1 -s 192.168.1.101 -tff:ff:ff:ff:ff:ff -r 00:1c:bf:03:9f:c7
比如我想攻击192.168.1.50的机器不让他上网
sudo arpoison -i eth0 -d 192.168.1.50 -s 192.168.1.1 -tff:ff:ff:ff:ff:ff -r 00:1c:bf:03:9f:c7
一些猜想
如果在本机开始NAT服务
然后通过arp欺骗把对方的网关地址欺骗到自己这里,因为自己这里开了NAT,对方应该也可以上网吧。然后在本地开wireshark抓包,对方就不知不觉的被监视了。这些想法没有测试,不知道这样欺骗的办法,NAT是否可以。
