linux环境下防arp的办理办法[操作系统]

症状:2008年11月6号下午5时左右,拜候yeecare网站非常.后台打不开,查看了源代码,页面的投放被加入了一行iframe 代码.
把本地的文件上传上去后,还有这种情形. 把远程的代码下载下来,发现文件里面并没有被插入代码. 明显,文件没有被挂马.
初步判断大概被arp攻击了. 重启了服务器,问题还是没有办理. 然后把apache 停掉,搜索办理办法,大约5分钟后,启了apache,竟然好了.
暂时缘由尚不清楚.  

针对ARP攻击的防制,常见的办法,可以分为以下三种作法:
1、操纵ARP echo传送精确的ARP讯息:通过频繁地提醒精确的ARP对比表,来到达防制的效果.
2、操纵绑定方法,固定ARP对比表不受外来影响:通过固定精确的ARP对比表,来到达防制的效果.
3、舍弃ARP协议,采取别的寻址协议:不采取ARP作为传送的机制,而另行利用别的协议比方PPPoE方法传送.
以上三种办法中,前两种办法较为常见,第三种办法由于变更较大,实用于技术本领较佳的利用.

管理员用户登录,翻开终端输入
筹划一:（服务器目前采取此筹划,不过按照arp的原理来看,此办法未必起作用,只能避免本机中arp病毒的情形）
1、arp -a > /etc/ethers
将ip和mac地址导入ethers
2、#vi /etc/ethers
编辑文件格局,ethers文件内容必须格局以下多余的全部删除,改成情势ip mac
192.168.1.11 XX:XX:XX:XX:XX
192.168.1.254 XX:XX:XX:XX:XX

//注意mac大写,并且没有O只有零,ip和mac空格.假如arp -a 是空的,可以ping一下本机和网关,呼应的mac就会出来了.
3、#vi /etc/rc.d/rc.local //翻开并显示 /etc/rc.d/rc.local文件,启动项文件
//启动的时刻履行arp -f按照/etc/ethers 中的内容绑定
在 /etc/rc.d/rc/local 文件中最后加一行
arp -f

4、arp -f // 可手动履行一下绑定.

        备注:
        可以把机房内对应局域网内的mac都记录下来,能更有效的避免arp攻击.到机房的时刻再做操作,以防误操作,就无法拜候服务器了.
        ethers文件要有可履行权限
(ethers 里不包含网关mac不然会报错,ethers文件里不能自己梆自己,不然出错 ---- 该条在虚拟机上考证,并没有报错.)
        arp -s 192.168.0.1 04:4B:80:80:80:04 可手动来指定.

筹划二:arping 号令办理arp攻击（此发放貌似可以办理局域网中病毒的问题.但根本办理办法还是得找到局域网内中apr的机械.）
原文:我用的是fedora core 6,我先把几个镜像文件挂上,用关键字 arp 一搜,就搜到了arptables,和arpwatcher 首先是arpwatcher了,
它仿佛只能监控本机ip/arp地址的改变之类的,仿佛不能避免arp攻击. 再一看arptables,立马想到了iptables,装上一看,公然,号令行都一模一样.
但是问题来了,保持本机不受arp攻击很简单（用静态arp绑定便可以了）,但是人家网关也还是要遭到攻击, 俺们又不是网络管理员,网关我只能 “远观而不能亵玩“!
此路不通,俺们改道,上网搜去! 找了几个“轮回”,arping这个东西映入我的眼帘,回到shell,发现已经安装拉:
“arping - send ARP REQUEST to a neighbour host“arping [ -AbDfhqUV]   [ -c count] [ -w deadline] [ -s source] -I       interface destination-U     Unsolicited ARP mode to update neighbours’ ARP caches. No              replies are expected.

关键号令:
arping -U -I 发送包的网卡接口 -s 源ip 目的ip
实例:
假定你的eth0接口对应的ip为192.168.1.1,网关为192.168.1.255你便可以利用

arping -U -I eth0 -s 192.168.1.1 192.168.1.255
--------------------------------------------------------------------------------
-s src_ip 指定源ip为src_ip
-I ethi 指定利用ethi网卡
相关号令参数表 -c n 发送n个数据报数目撤退出程序
-w sec sec秒撤退出程序
-f 收到一个答复包就退出程序
-q quiet安静情势
-V 显示版本

arping貌似没有windows 下的antiarp利害,但是也基本上够用了.
arping需求root权限运行

筹划三:linux下arp攻击的办理筹划续(完善办理版)［原］（该筹划未经过考证）

[1] [2]  下一页