我试过了,arp -s 网关IP 网关MAC 这是强制设置arp表,设置以后几秒钟内是正常的,但马上网关的MAC就被改成虚假的了。
在 2010年12月23日 下午12:51,dword <zhangchi...@gmail.com> 写道: > 在 2010年12月23日 星期四 12:33:04,Robot 马 写道: >> 大家好: >> 我们这儿校园网内有人使用p2pover进行arp欺骗攻击,不知道ubuntu下怎样才能抵挡? >> >> 我已经尝试过很多方法,使用过闭源的傻瓜式GUI的ARP防火墙XARP,结果成功发现攻击并抵御住,然而一会之后随着p2pover自动增大流量,xarp就无能为力了;尝试着调到最高的aggressive模式也只是多抵挡了一会而已。(在xarp的GUI里可以看到网关的MAC不断在真、假之间切换。) >> >> 又试着使用了软件源里的arpon,(static模式,因为我没有使用DHCP),表现还不如xarp。如果把刷新arp表缓存的timeout改成1s可以多撑一会,但是最后还是被p2pover干掉了。 >> >> 总结了一下,发现这两者貌似都是在检测到异常ARP包后(或者一段时间后)强制去刷新arp表;而p2pover在发现欺骗不成功后会自动增大流量、提高频率。所以xarp和arpon都无法成功抵挡。 >> >> 我后来又尝试研究了类似iptable的arptables,试着直接把假的arp包drop掉,从原理上讲应该是可行的,但是却失败了。下面是我写的rule,DROP掉所有非真实网关来的ARP包(比较暴力...): >> *filter >> :INPUT ACCEPT >> :OUTPUT ACCEPT >> :FORWARD ACCEPT >> -A INPUT -j DROP -i eth0 -s 172.0.11.1 ! --src-mac 00:00:5e:00:01:0a >> -A INPUT -j DROP -i eth0 ! --src-mac 00:00:5e:00:01:0a >> >> >> 请教各位到底怎样才能在LINUX下抵挡arp欺骗攻击? > > man arp > arp -s [ADDR] [MAC] > -------------- 下一部分 -------------- > 一个非文本附件被清除... > 发信人: %(who)s > 主题: %(subject)s > 日期: %(date)s > 大小: 198 > Url: > https://lists.ubuntu.com/archives/ubuntu-zh/attachments/20101223/fe975afd/attachment.pgp > -- > ubuntu-zh mailing list > ubuntu-zh@lists.ubuntu.com > https://lists.ubuntu.com/mailman/listinfo/ubuntu-zh > -- Robot Shell http://robotshell.org/ -- ubuntu-zh mailing list ubuntu-zh@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-zh
