ninjai

上个ARP防火墙，完工

瘦够了

原帖由 ninjai 于 2010-8-18 02:11 发表


站被挂马，你怎么知道是ARP的?

arp挂马是动态修改数据包的，所以有3个测试方法
1、ARP表错了。不过你平时不记录真实的网关MAC的话，很难发现。
2、你发现网页里面插入了木马，但是打开文件，却发现没有修改。
3、你可以创建一个新的空白的页面，比如blank.htm，然后直接访问，也发现有木马。
那就是ARP攻击的概率较大了。
当然也有别的可能。

mudfrog

arp应该让机房解决，如果是真的ARP，自己是没办法彻底解决的。必须双向绑定。

domin

linux主机

如果攻击发包欺骗你的主机：

最根本的方法，是关掉网卡的ARP功能(ifconfig ethx -arp)。很多情况下，我们只需要与网关通信，网络里面其他的机器很少通信。所以我们建立一个ip地址和mac地址的对应关系文件：/etc/ethers

cat /etc/ethers
111.111.111.111    00:00:78:cc:55:6d

执行arp -f 绑定

如果攻击发包欺骗的是网关：（MD这种最讨厌，太TMD不道德了）
常见方法是
arping -U -I eth0 -s 192.168.1.17 192.168.1.254
这个命令的含义为将绑定在eth0上的IP地址(192.168.1.17)对应的MAC地址告诉网关（192.168.1.254）

其实就是自己发包去刷网关的arp表
arping 效率不高。
你可以用arp攻击程序来搞，就相当于自己攻击自己，只不过刷新的记录是真实的而已。
例如
arpoison
http://www.arpoison.net/

先装libnet
http://libnet.sourceforge.net/
先安装libnet
tar -xvzf libnet.tar.gz
cd libne
./configure
makemake install

安装arpoison
tar -xvzf arpoison-0.6.tar.gz
cd arpoison
gcc arpoison.c
/usr/lib/libnet.a -o arpoison


Usage: -i device -d dest_IP -s src_IP -t target_MAC -r src_MAC [-a] [-w time between packets] [-n number to send]示例：arpoison -i eth0 -d 172.16.18.254 -s 172.16.18.19 -t ff:ff:ff:ff:ff:ff -r 00:11:09:E8:78:DD
-i eth0 指定发送arp包的网卡接口eth0
-d 172.16.18.254 指定目的ip为172.16.18.254
-s 172.16.18.19  指定源ip为172.16.18.19
-t ff:ff:ff:ff:ff:ff 指定目的mac地址为ff:ff:ff:ff:ff:ff(arp广播地址)
-r 00:11:09:E8:C8:ED  指定源mac地址为00:11:09:E8:C8:ED

mudfrog

arp可以欺骗你的机器，也可以欺骗网关，并且可以持续发包来欺骗。楼上这个方法只能解决或者缓解某些ARP情况，只要攻击者发包频率高于你本机的发包频率就没用了，不能彻底解决。
彻底解决还是得机房，而且这是机房的责任，ARP相当于内网攻击，机房有责任找出攻击者解决问题。

[ 本帖最后由 domin 于 2010-8-18 08:07 编辑 ]

domin

联系机房，说不解决ARP问题，就不付钱了。撤柜

mudfrog

arp的话得双绑了原帖由 mudfrog 于 2010-8-18 08:08 发表


联系机房，说不解决ARP问题，就不付钱了。撤柜

国外机房一般会解决的，只要给他们证据。 国内的话就难说了，遇到很多次被ARP，电信死活说他们解决不了，推卸责任，NND，几百台机器一个VLAN

laoma348domin

不懂也

大飞机

不懂，帮顶