來源:IT168
前兩天家里的網(wǎng)斷斷續(xù)續(xù)�,發(fā)現(xiàn)有人在用arp欺騙�����,其實真正碰到有人在攻擊的幾率不大,大部分原因都是有人在用win下的諸如“P2P終結(jié)者”這樣的軟件導致的�。再怎么bs那人也是沒有用的,問題還是要解決��,win下倒是好辦�����,現(xiàn)成的軟件多的是�����,linux下面就要自己動手了^^����。
arp欺騙的原理不多述,基本就是利用發(fā)送假的arp數(shù)據(jù)包��,冒充網(wǎng)關(guān)��。一般在網(wǎng)上通訊的時候網(wǎng)關(guān)的IP和MAC的綁定是放在arp緩存里面的����,假的arp包就會刷新這個緩存���,導致本該發(fā)送到網(wǎng)關(guān)的數(shù)據(jù)包發(fā)到了欺騙者那里�。解決的辦法就是靜態(tài)arp。
假設網(wǎng)關(guān)的IP是192.168.0.1��,我們要先得到網(wǎng)關(guān)的正確MAC�,先ping一下網(wǎng)關(guān):
ping192.168.0.1
然后運行arp查看arp緩存中的網(wǎng)關(guān)MAC:
localhost~$arpAddress HWtype HWaddress FlagsMask Interface192.168.0.1 ether 00:12:34:56:78:9A C eth0
這里得到的網(wǎng)關(guān)MAC假定為00:12:34:56:78:9A,C代表這個綁定是保存在緩沖里的��,我們要做的就是把這個IP和MAC靜態(tài)的綁定在一起�,首先建立/etc/ethers文件,輸入以下內(nèi)容:
192.168.0.100:12:34:56:78:9A
保存退出�,之后便是應用這個靜態(tài)綁定:
localhost~$arp-f
再運行arp查看:
localhost~$arpAddress HWtype HWaddress FlagsMask Interface192.168.0.1 ether 00:12:34:56:78:9A CM eth0
多了個M,表示靜態(tài)網(wǎng)關(guān)�����,OK收工~
