Linux下Mac地址綁定防范arp病毒攻擊

有時(shí)，局域網(wǎng)內(nèi)大家突然都不可以上網(wǎng)，使用抓包工具可以發(fā)現(xiàn)有個(gè)別機(jī)器在不停的發(fā)送arp廣播包。這種情況一般都是內(nèi)網(wǎng)的某臺(tái)機(jī)器中了arp病毒，然后這臺(tái)機(jī)器便不斷的發(fā)送欺騙包給所有機(jī)器來(lái)冒充網(wǎng)關(guān)，這樣其他機(jī)器就會(huì)把這個(gè)中毒的機(jī)器當(dāng)作網(wǎng)關(guān)而把數(shù)據(jù)包發(fā)給它，而它在接到數(shù)據(jù)包后又沒有轉(zhuǎn)發(fā)數(shù)據(jù)包到真正的網(wǎng)關(guān)去，所以造成大家都無(wú)法上網(wǎng)。

一般的，arp病毒使用欺騙的手段是為了竊聽內(nèi)網(wǎng)中所有的通信數(shù)據(jù)以達(dá)到它的某種目的。

由于一般的arp病毒在發(fā)送欺騙包時(shí)會(huì)修改自身的mac地址，這使我們?cè)诳焖倥挪橹卸緳C(jī)器有一定困難。但這可以通過(guò)mac與ip綁定的方式解決，即所有內(nèi)網(wǎng)機(jī)器的ip都通與mac綁定的方式分配，這樣所有未登記的不合法mac就無(wú)法連接到內(nèi)網(wǎng)了。

如果局域網(wǎng)內(nèi)已經(jīng)有網(wǎng)關(guān)欺騙而導(dǎo)致無(wú)法上網(wǎng)時(shí)，我們還可以通過(guò)在本機(jī)上綁定網(wǎng)關(guān)的mac地址和ip來(lái)解決欺騙問(wèn)題。但此步需要一個(gè)條件，即你要知道真實(shí)的網(wǎng)關(guān)ip和mac地址。操作如下：

防范arp病毒攻擊方法一：(此方法對(duì)linux和windows都適用)

1，列出局域網(wǎng)內(nèi)所有機(jī)器的mac地址,如果此步列出的路由表中網(wǎng)關(guān)ip 和網(wǎng)關(guān)mac地址與真實(shí)不符，就也證明你已經(jīng)被網(wǎng)關(guān)欺騙了。

arp -a

2，綁定mac地址

arp -s 192.168.1.1 00:07:E9:xx:xx:xx

注意：這里192.168.1.1有可能有換成hostname，假如你的網(wǎng)關(guān)設(shè)置了hostname的話。

防范arp病毒攻擊方法二：(適用于linux)

1，創(chuàng)建一個(gè)/etc/ethers文件，比如你要綁定網(wǎng)關(guān)，那就在/etc/ethers里寫上：

192.168.1.1 00:07:E9:xx:xx:xx

然后執(zhí)行

arp -f

操作完成你可以使用arp -a查看當(dāng)前的arp緩存表，如果列表顯示正確，那么你的綁定操作已成功，如果還有綁定其它機(jī)器的話，比如ftp等，那就繼續(xù)添加記錄。

說(shuō)明：此處的192.168.1.1為你的網(wǎng)關(guān)地址，00:07:E9:xx:xx:xx為你的網(wǎng)關(guān)mac地址。

注意：Linux和Widows上的MAC地址格式不同。Linux表示為：AA:AA:AA:AA:AA:AA，Windows表示為：AA-AA-AA-AA-AA-AA。

注意：每次重啟機(jī)器后需要重新綁定mac地址，你可以寫一個(gè)自動(dòng)腳本后加到自啟動(dòng)項(xiàng)目中。

另外，mac地址的綁定需要雙向的，即機(jī)器a綁定了機(jī)器b，機(jī)器b也要綁定機(jī)器a，這樣防范arp病毒攻擊才會(huì)有效。

防范arp病毒攻擊的方法有很多，本文知識(shí)介紹了比較實(shí)用的兩種，而且是針對(duì)linux和windows兩種不同系統(tǒng)的辦法，所以使用時(shí)一定要看清系統(tǒng)，對(duì)癥下藥。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]