linux下防御arp攻击的策略 arp, 攻击

最近朋友服务器每天经常遭遇arp病毒攻击导致网站无法正常运营，问我有没有好的解决策略，经过google了一番尝试了一下终于得到了解决方案，并找出感染病毒的机器为一台windows机器通知机房，并在本机做好防御策略，问题得到了很好的解决，在这个过程中得到了cuci的热心帮助，在此表示感谢！好了！话不多说具体操作方法如下:

1./*找出ARP攻击的机器*/
获取同一网段下所有机器MAC地址的办法
         
机房有机器中毒，发arp包，通过arpspoof虽然可以解决，也可以找到中毒机器的mac地址，但在机房设备不足的情况下，很难查到mac地址对应的IP。然后我们可以通过一个循环，使用arping来对整个子网下面的机器发一个包，这样就可以在arp下面查看到相应的mac缓存，进而得到对

应的IP地址。

1. #!/bin/sh
   
2. #感谢作者:吴洪声
   
3. for ((i = 1; i < 254; i++))
   
4. do
   
5. arping -I eth0 60.191.82.$i -c 1
   
6. done
   
7. arp -a > mac_table

复制代码

脚本跑完后，查看当前目录生成的mac_table。
#arp -a 查找你中毒时网关的MAC地址，并记录下来在mac_table里寻找到相对应的机器，仍后就可以找出那台机器感染了ARP病毒。


2./*使用arpspoof抵御ARP攻击*/
#提供方案原创者:yk103,在此表示感谢！
先安装libnet
http://www.packetfactory.net/libnet/dist/libnet.tar.gz
tar -xvzf libnet.tar.gz
cd libnet
./configure
make
make install

安装arpoison
http://www.arpoison.net/arpoison-0.6.tar.gz
tar -xvzf arpoison-0.6.tar.gz
cd arpoison
gcc arpoison.c /usr/lib/libnet.a -o arpoison
mv arpoison /usr/sbin

编写arpDefend.sh脚本.

1. #!bash
   
2. #arpDefend.sh
   
3. #yk103
   
4. #网关mac地址
   
5. GATEWAY_MAC=00:11:BB:A5:D2:40
   
6. #目的mac地址
   
7. DEST_MAC=ff:ff:ff:ff:ff:ff
   
8. #目的ip地址(网段广播地址)
   
9. DEST_IP=60.191.82.254
   
10. 
    
11. #本地网卡接口
    
12. INTERFACE=eth0
    
13. #$INTERFACE的mac地址
    
14. MY_MAC=00:30:48:33:F0:BA
    
15. #$INTERFACE的ip地址
    
16. MY_IP=60.191.82.247
    
17. 
    
18. #在本机建立静态ip/mac入口 $DEST_IP--$GATEWAY_MAC
    
19. arp -s $DEST_IP $GATEWAY_MAC
    
20. 
    
21. #发送arp reply ,使$DEST_IP更新$MY_IP的mac地址为$MY_MAC
    
22. arpoison -i $INTERFACE -d $DEST_IP -s $MY_IP -t $DEST_MAC -r $MY_MAC 1>/dev/null &

复制代码

#!/bin/sh
#感谢作者:吴洪声
for ((i = 1; i < 254; i++))                   这里应该改为255保险点
do
arping -I eth0 60.191.82.$i -c 1
done
arp -a > mac_table

内核一样，只是shell环境可能有些差别,
在ubuntu下应改成这样才能运行

1. 
   
2. #!/bin/bash
   
3. #感谢作者:吴洪声
   
4. for ((i = 1; i < 254; i++))
   
5. do
   
6. arping -I eth0 60.191.82.$i -c 1
   
7. done
   
8. arp -a > mac_table

复制代码

1. 
   
2. Usage: -i device -d dest_IP -s src_IP -t target_MAC -r src_MAC [-a] [-w time between packets] [-n number to send]
   
3. 示例：arpoison -i eth0 -d 172.16.18.254 -s 172.16.18.19 -t ff:ff:ff:ff:ff:ff -r 00:11:09:E8:78:DD   

复制代码

-i eth0 指定发送arp包的网卡接口eth0
-d 172.16.18.254 指定目的ip为172.16.18.254
-s 172.16.18.19  指定源ip为172.16.18.19
-t ff:ff:ff:ff:ff:ff 指定目的mac地址为ff:ff:ff:ff:ff:ff(arp广播地址)
-r 00:11:09:E8:C8:ED  指定源mac地址为00:11:09:E8:C8:ED

arp协议不是主动更新的协议,属于被动更新的协议,如果ARP表中有错误的ARP地址,会一直向错误的地址来发送消息,除非有两种情况下会更改,
一.是当你的ARP表中没有相应的MAC地址,会发广播去寻找你要到达的目的地址;
二.是你收到广播IP与MAC地址发生变化,会有相应的更改,一般这就是ARP欺骗的手法.
所以在用  arpoison 来修复时,应先把ARP攻击源隔离!

找朋友研究了一个,上次说到生成了一个MAC_TABLE的一个文件里面存的是ARP表对吧,如果有重复的,怎么快速的把重复的找出来呢,让同事用C做了个小程序,在这里谢谢同事毛毛了!因为这个C是他做的,哈哈

1. 
   
2. 
   
3. #include <stdio.h>
   
4. #include <stdlib.h>
   
5. #include <string.h>
   
6. 
   
7. char* mac_addr[1000];
   
8. 
   
9. read_file(char* filename)
   
10. {
    
11. //fstream f_dir;
    
12. FILE *file_stream = NULL;
    
13. file_stream = fopen(filename, "r");
    
14. if(file_stream == NULL)
    
15. {
    
16. printf("can not open file ! \n");
    
17. return;
    
18. }   
    
19. //f_dir.open(filename,   ios::in |ios::out | ios::app);  
    
20. int line_num=0;
    
21. int i=0;
    
22. int j=0;
    
23. while(feof(file_stream) == 0)
    
24.   {   
    
25.    char * mac = malloc(256);
    
26.    //f_dir.getline(charword,256);//读出文件中的一行
    
27.    fgets(mac,255,file_stream);
    
28.    //printf("line:%s\n",mac);
    
29.    mac_addr[line_num]=mac;
    
30.    line_num++;   
    
31.   }
    
32. line_num--;
    
33. //printf("line num : %d \n",line_num);
    
34. fclose(file_stream);
    
35. for(i;i<line_num;i++)
    
36. {
    
37. for(j=i+1;j<line_num;j++)
    
38. {
    
39.   char mac_perline_1[18];
    
40.   char mac_perline_2[18];
    
41.   char * line_1 = mac_addr[i];
    
42.   char * line_2 = mac_addr[j];
    
43.   int position = 0;
    
44.   int count = 0;
    
45.   //printf("line_1:%s\n",line_1);
    
46.   //printf("line_2:%s\n",line_2);
    
47.   while(line_1[position]!='\n')
    
48.   {
    
49.    //printf("position:%d\n",position);
    
50.    if(line_1[position]==' ')
    
51.     {
    
52.      count++;
    
53.      if(count == 3)
    
54.       {
    
55.        //printf("befor copy \n");
    
56.        memcpy(mac_perline_1,line_1+position+1,17);
    
57.        //printf("bbbbb\n");
    
58.        mac_perline_1[17]='\0';
    
59.               //printf("mac addr1 %s\n",mac_perline_1);
    
60.        break;
    
61.       }     
    
62.     }
    
63.    position++;   
    
64.   }
    
65.   position = 0;
    
66.   count = 0;
    
67.   while(line_2[position]!='\n')
    
68.   {
    
69.    if(line_2[position]==' ')
    
70.     {
    
71.      count++;
    
72.      if(count == 3)
    
73.       {
    
74.        memcpy(mac_perline_2,line_2+position+1,17);
    
75.        mac_perline_2[17]='\0';
    
76.               //printf("mac addr2 %s\n",mac_perline_2);
    
77.        break;
    
78.       }     
    
79.     }
    
80.    position++;   
    
81.   }
    
82.   if(strcmp(mac_perline_2,mac_perline_1)==0)
    
83.    {
    
84.     printf("same MAC_ADDR find in line %d and %d \n",i,j);
    
85.     printf(" %s %s \n",mac_addr[i],mac_addr[j]);
    
86.    }
    
87. }
    
88. }
    
89. for(i=0;i<line_num+1;i++)
    
90. {
    
91.   free(mac_addr[i]);
    
92. }
    
93.   
    
94. }
    
95. main(int argc, char *argv[])
    
96. {
    
97.   int err, nargc, i;
    
98.   if(argc<2)
    
99.    {
    
100.      printf("please input the filename\n");                        
     
101.      return -1;
     
102.    }
     
103.          
     
104.          
     
105.   read_file(argv[1]);
     
106.            
     
107.   return 0;         
     
108.          
     
109.          
     
110. }

复制代码

这个是原码,

下面说用法,

在附件里有一个叫file.c的文件,还有一个叫Makefile的文件,还有一个用来测试的mac_table,到时候把file.c 和Makefile放到同一个目录下,执行

1. # make

复制代码

会生成一个mac的执行文件,用法就是在当前目录下执行MAC表文件就行了,比如在当前的目录下生成mac文件了,也有一个ARP表文件mac_table  执行

1. 
   
2. #./mac mac_table
   

复制代码

就把重复MAC的那一行ARP表列出来了,能快速的知道那台电脑在发ARP广播,快速的找到中毒的电脑!!!


在此谢谢同事毛毛!!!



[ 本帖最后由 tang 于 2008-9-5 17:28 编辑 ]

  感谢唐兄分享！

应linuxtone 所邀，做一下总结：

自己做了一个小文件做了一下改动，这一次如果你中了ARP攻击。这以使用附件里的小插件！

运行方法很简单！这样我发现我们更懒了！！！

1. 
   
2. #tar zxvf mac.tar.gz
   
3. #cd mac_addr
   
4. #./arpping
   

复制代码

感谢分享这么可爱的东西 ！回头我测试一下：）
其实如何做一个优秀的SA，经理人，就要学会如何偷懒！所以懒惰并不是一件坏事情！ 小小的改进，省去了更多的时间，效率更高了！

再更新一下,!!!

加了一点提示!!!

用arping有时可以击退arp攻击:
/sbin/arping -c 次数 -s your_IP gateway_IP

ARP确实不断进步，总体感受，ARP一定要做双向(网关与上层网关)绑定。