Mac地址绑定防范arp病毒攻击

楼主^#

更多发布于：2011-11-30 11:54

[] 1


	arp病毒攻击后的影响　　有时，局域网内大家忽然都不能够上网，运用抓包工具能够发现有个别机器在不停的发送arp播送包。这种状况普通都是内网的某台机器中了arp病毒，然后这台机器便不时的发送诈骗包给一切机器来冒充网关，这样其他机器就会把这个中毒的机器当作网关而把数据包发给它，而它在接到数据包后又没有转发数据包到真正的网关去，所以形成大家都无法上网。　　普通的，arp病毒运用诈骗的手腕是为了窃听内网中一切的通讯数据以到达它的某种目的。　　由于普通的arp病毒在发送诈骗包时会修正本身的mac地址，这使我们在快速排查中毒机器有一定艰难。但这能够经过mac与ip绑定的方式处理，即一切内网机器的ip都通与mac绑定的方式分配，这样一切未注销的不合法mac就无法衔接到内网了。　　假如局域网内曾经有网关诈骗而招致无法上网时，我们还能够经过在本机上绑定网关的mac地址和ip来处理诈骗问题。但此步需求一个条件，即你要晓得真实的网关ip和mac地址。操作如下：　　防备arp病毒攻击办法一：(此办法对linux和windows都适用) 　　1，列出局域网内一切机器的mac地址,假如此步列出的路由表中网关ip 和网关mac地址与真实不符，就也证明你曾经被网关诈骗了。　　arp -a 　　2，绑定mac地址　　arp -s 192.168.1.1 00:07:E9:xx:xx:xx 　　留意：这里192.168.1.1有可能有换成hostname，假设你的网关设置了hostname的话。　　防备arp病毒攻击办法二：(适用于linux) 　　1，创立一个/etc/ethers文件，比方你要绑定网关，那就在/etc/ethers里写上：　　192.168.1.1 00:07:E9:xx:xx:xx 　　然后执行　　arp -f 　　操作完成你能够运用arp -a查看当前的arp缓存表，假如列表显现正确，那么你的绑定操作已胜利，假如还有绑定其它机器的话，比方ftp等，那就继续添加记载。　　阐明：此处的192.168.1.1为你的网关地址，00:07:E9:xx:xx:xx为你的网关mac地址。　　留意：Linux和Widows上的MAC地址格式不同。Linux表示为：AA:AA:AA:AA:AA:AA，Windows表示为：AA-AA-AA-AA-AA-AA。　　留意：每次重启机器后需求重新绑定mac地址，你能够写一个自动脚本后加到自启动项目中。　　另外，mac地址的绑定需求双向的，即机器a绑定了机器b，机器b也要绑定机器a，这样防备arp病毒攻击才会有效。　　防备arp病毒攻击的办法有很多，本文学问引见了比拟适用的两种，而且是针对linux和windows两种不同系统的方法，所以运用时一定要看清系统，有的放矢。