当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 25 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
1 楼 
 文章标题 : 使用 arptables 来做主动式arp防火墙
帖子发表于 : 2008-06-06 7:53 

注册: 2006-03-22 3:42
帖子: 370
送出感谢: 0 次
接收感谢: 0 次
防ARP欺骗(arptables)

最近在学校论坛上看到又有人吃了不少ARP欺骗的苦,其实只要找个好点的防火墙,这些问题都可以解决!~以前偶在Win下用的是look’n’stop,一个很小巧却十分好用的东东!~它的设置可以看《look’n’stop防火墙》!现在一直用Ubuntu,很少出现跟人抢IP的事, 也就没有关心过,直到有一天,偶的IP被人用了,555,从网上找找了资料,发现了arptables这个东东!~

思路和LNS的差不多!~~只让偶和网关间是双向通信,和其它机器间是单向,也就是可以向局域网(FF:FF:FF:FF:FF:FF)发信息,而不接收其发来的信息。呵,所以这招十分有用!~也可以用来冲别人IP,很爽哦!

首先安装好arptables:

* sudo apt-get install arptables

然后定义规则:

* sudo arptables -A INPUT --src-mac ! 网关物理地址 -j DROP
* sudo arptables -A INPUT -s ! 网关IP -j DROP
* sudo arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT

呵,不过这样就有一点不好,局域网内的资源不能用!~比如飞鸽、War3!如果想用它们的话,把上面那些规则给Del就OK了!~

* sudo arptables -F

当然我们可以做个脚本,每次开机的时候自动运行!~sudo gedit /etc/init.d/arptables,内容如下:

#! /bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

arptables -A INPUT --src-mac ! 网关物理地址 -j DROP

arptables -A INPUT -s ! 网关IP -j DROP

arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT

然后给arptables加个execution的属性,

sudo chmod 755 /etc/init.d/arptables

再把arptables设置自动运行,

sudo update-rc.d arptables start 99 S .

用sysv-rc-conf直接设置

原文出处
http://blog.guoliangwu.cn/articles/tag/arptables


正在试用,结果随后报告.....


最后由 maikafei 编辑于 2008-06-11 18:53,总共编辑了 3 次

页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-06-06 12:13 

注册: 2008-05-28 10:23
帖子: 17
送出感谢: 0 次
接收感谢: 0 次
留名!找了好久!!

楼主发布报告!


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-06-06 12:51 
头像

注册: 2007-10-21 16:41
帖子: 1289
地址: GD
送出感谢: 0 次
接收感谢: 0 次
我更想知道如何能控制别人的流量。。。老有人在线看片。。更新都难。。。。。。


_________________
吼吼


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-06-06 19:09 
头像

注册: 2007-10-06 18:40
帖子: 4313
送出感谢: 0 次
接收感谢: 5
mawith 写道:
我更想知道如何能控制别人的流量。。。老有人在线看片。。更新都难。。。。。。

在她的局域网共享里放两个病毒


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2008-06-06 21:51 

注册: 2006-03-22 3:42
帖子: 370
送出感谢: 0 次
接收感谢: 0 次
xuanyuan1707 写道:
留名!找了好久!!

楼主发布报告!



今晚反应良好,没有断线,不知道是不是起作用了,还是今晚下大雨搞毒机的家伙被雷劈死没有上机.


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2008-06-06 22:06 

注册: 2008-05-25 7:45
帖子: 28
送出感谢: 0 次
接收感谢: 0 次
开心见到此贴 不过我现在和舍友合用用路由器了 没有arp攻击了 不然我就拔他的线 :D


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2008-06-06 23:57 

注册: 2006-03-22 3:42
帖子: 370
送出感谢: 0 次
接收感谢: 0 次
网关IP和MAC的获得 可以用 命令:

arp -a

如果每次都不一样,也就是说你被ARP欺骗了.

看看我之前用 arp -a 获得的


sunny@sunny-desktop:~$ arp -a
? (192.168.1.1) 位于 00:E0:61:0C:6C:19 [ether] 在 eth0
? (192.168.1.31) 位于 00:E0:61:0C:6C:19 [ether] 在 eth0

而实际真实的应该是

sunny@sunny-desktop:~$ arp -a
? (192.168.1.1) 位于 00:19:E0:CE:B5:78 [ether] 在 eth0


页首
 用户资料  
 
8 楼 
 文章标题 :
帖子发表于 : 2008-06-11 18:30 
头像

注册: 2007-10-06 18:40
帖子: 4313
送出感谢: 0 次
接收感谢: 5
拆除防火墙的命令

sudo arptables -D INPUT --src-mac ! 网关物理地址 -j DROP
sudo arptables -D INPUT -s ! 网关IP -j DROP
sudo arptables -D OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT

然后就可以使用局域网的资源了。


页首
 用户资料  
 
9 楼 
 文章标题 :
帖子发表于 : 2008-06-19 22:38 

注册: 2006-03-22 3:42
帖子: 370
送出感谢: 0 次
接收感谢: 0 次
已经试用超过十天, 的确非常不错哦. :lol:


页首
 用户资料  
 
10 楼 
 文章标题 :
帖子发表于 : 2008-07-13 10:25 

注册: 2008-02-03 10:27
帖子: 69
送出感谢: 0 次
接收感谢: 0 次
非常感谢,学习了不少知识。。


页首
 用户资料  
 
11 楼 
 文章标题 :
帖子发表于 : 2008-07-13 11:01 
头像

注册: 2007-04-23 16:41
帖子: 238
地址: 给你的爱一直很安静
送出感谢: 0 次
接收感谢: 0 次
网关如何设置?我使用的是127.0.0.1


_________________
图片


页首
 用户资料  
 
12 楼 
 文章标题 :
帖子发表于 : 2008-07-13 16:27 
头像

注册: 2007-10-06 18:40
帖子: 4313
送出感谢: 0 次
接收感谢: 5
黄金时代 写道:
网关如何设置?我使用的是127.0.0.1

用arp -a 看网关的ip和mac。
不过可能是假的。


_________________
E=m c^2


页首
 用户资料  
 
13 楼 
 文章标题 :
帖子发表于 : 2008-07-13 17:50 
头像

注册: 2007-04-23 16:41
帖子: 238
地址: 给你的爱一直很安静
送出感谢: 0 次
接收感谢: 0 次
我是河南网通的,没有局域网
我想这养设置也可以吧?

$ ifconfig
eth0 Link encap:以太网 硬件地址 00:04:61:94:2d:e5
inet6 地址: fe80::204:61ff:fe94:2de5/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 跃点数:1
接收数据包:2218998 错误:0 丢弃:0 过载:0 帧数:0
发送数据包:2203197 错误:0 丢弃:0 过载:0 载波:0
碰撞:0 发送队列长度:1000
接收字节:1603288389 (1.4 GB) 发送字节:1363447865 (1.2 GB)
中断:20 基本地址:0xd000

eth0:avahi Link encap:以太网 硬件地址 00:04:61:94:2d:e5
inet 地址:169.254.7.176 广播:169.254.255.255 掩码:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 跃点数:1
中断:20 基本地址:0xd000

lo Link encap:本地环回
inet 地址:127.0.0.1 掩码:255.0.0.0
inet6 地址: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 跃点数:1
接收数据包:78316 错误:0 丢弃:0 过载:0 帧数:0
发送数据包:78316 错误:0 丢弃:0 过载:0 载波:0
碰撞:0 发送队列长度:0
接收字节:4706609 (4.4 MB) 发送字节:4706609 (4.4 MB)

ppp0 Link encap:点对点协议
inet 地址:123.4.56.32 点对点:123.4.56.1 掩码:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1468 跃点数:1
接收数据包:1668517 错误:0 丢弃:0 过载:0 帧数:0
发送数据包:1411981 错误:0 丢弃:0 过载:0 载波:0
碰撞:0 发送队列长度:3
接收字节:1348986498 (1.2 GB) 发送字节:408638338 (389.7 MB)

arp防火墙设置为

arptables -A INPUT --src-mac ! 00:04:61:94:2d:e5 -j DROP

arptables -A INPUT -s ! 123.4.56.1 -j DROP

arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT

也就是只是和本网段内的路由器123.4.56.1双向联系?

$ arp -a
无结果


_________________
图片


页首
 用户资料  
 
14 楼 
 文章标题 :
帖子发表于 : 2008-07-13 18:18 
头像

注册: 2007-10-06 18:40
帖子: 4313
送出感谢: 0 次
接收感谢: 5
不是局域网,要arp防火墙干嘛?

arp协议是用在局域网里的。


_________________
E=m c^2


页首
 用户资料  
 
15 楼 
 文章标题 :
帖子发表于 : 2008-07-14 0:26 

注册: 2006-03-22 3:42
帖子: 370
送出感谢: 0 次
接收感谢: 0 次
黄金时代 写道:
我是河南网通的,没有局域网
我想这养设置也可以吧?

$ ifconfig
eth0 Link encap:以太网 硬件地址 00:04:61:94:2d:e5
inet6 地址: fe80::204:61ff:fe94:2de5/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 跃点数:1
接收数据包:2218998 错误:0 丢弃:0 过载:0 帧数:0
发送数据包:2203197 错误:0 丢弃:0 过载:0 载波:0
碰撞:0 发送队列长度:1000
接收字节:1603288389 (1.4 GB) 发送字节:1363447865 (1.2 GB)
中断:20 基本地址:0xd000

eth0:avahi Link encap:以太网 硬件地址 00:04:61:94:2d:e5
inet 地址:169.254.7.176 广播:169.254.255.255 掩码:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 跃点数:1
中断:20 基本地址:0xd000

lo Link encap:本地环回
inet 地址:127.0.0.1 掩码:255.0.0.0
inet6 地址: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 跃点数:1
接收数据包:78316 错误:0 丢弃:0 过载:0 帧数:0
发送数据包:78316 错误:0 丢弃:0 过载:0 载波:0
碰撞:0 发送队列长度:0
接收字节:4706609 (4.4 MB) 发送字节:4706609 (4.4 MB)

ppp0 Link encap:点对点协议
inet 地址:123.4.56.32 点对点:123.4.56.1 掩码:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1468 跃点数:1
接收数据包:1668517 错误:0 丢弃:0 过载:0 帧数:0
发送数据包:1411981 错误:0 丢弃:0 过载:0 载波:0
碰撞:0 发送队列长度:3
接收字节:1348986498 (1.2 GB) 发送字节:408638338 (389.7 MB)

arp防火墙设置为

arptables -A INPUT --src-mac ! 00:04:61:94:2d:e5 -j DROP

arptables -A INPUT -s ! 123.4.56.1 -j DROP

arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT

也就是只是和本网段内的路由器123.4.56.1双向联系?

$ arp -a
无结果




樓上老大說了,非局域網不需要這個. :D


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 25 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译