Linux防止ARP攻擊的一些方法

方法一，最常用的綁定網關

一般服務器的網關是不會變動的，且vps也適用。
一、查看當前網關

[root@local@xiaohuai ~]# arp -a
? (218.65.22.122) at 80:fb:06:f2:4a:f4 [ether] on eth0

SSH執行以上命令，可查看到網關主機名、網關IP、網關MAC地址和對應的網卡。

二、綁定網關MAC
1）綁定

[root@local@xiaohuai ~]# echo "218.65.22.122 80:fb:06:f2:4a:f4" > /etc/safe

#ip、mac部分請根據實情修改。格式：網關IP（空格）MAC地址
2）激活使其生效

[root@local@xiaohuai ~]# arp -f /etc/safe

SSH執行以上命令，使其生效。

三、檢查是否生效

[root@local@xiaohuai ~]# arp -a
? (218.65.22.122) at 80:fb:06:f2:4a:f4 [ether] PERM on eth0

再次執行arp -a命令，如下圖，若句尾多了一個：PERM，則表示手動綁定生效

方法二，利用軟件Libnet與arpoison

備軟件

Libnet 自己去官方網站
arpoison 自己去官方網站

安裝方法(FC下成功,其他發行版可參考)：

先安裝libnet
tar -xvzf libnet.tar.gz
cd libnet
./configure
make
make install

安裝arpoison
tar -xvzf arpoison-0.6.tar.gz
cd arpoison
gcc arpoison.c /usr/lib/libnet.a -o arpoison
mv arpoison /usr/sbin

用法:

Usage: -i device -d dest_IP -s src_IP -t target_MAC -r src_MAC [-a] [-w time between packets] [-n number to send]

示例：
arpoison -i eth0 -d 172.16.18.254 -s 172.16.18.19 -t ff:ff:ff:ff:ff:ff -r 00:11:09:E8:78:DD

解釋:

-i eth0 指定發送arp包的網卡接口eth0
-d 172.16.18.254 指定目的ip為172.16.18.254
-s 172.16.18.19 指定源ip為172.16.18.19
-t ff:ff:ff:ff:ff:ff 指定目的mac地址為ff:ff:ff:ff:ff:ff(arp廣播地址)
-r 00:11:09:E8:C8:ED 指定源mac地址為00:11:09:E8:C8:ED

寫了一個小腳本，根據注釋，相信聰明智慧的各位可以搞定linux下的arp攻擊了：

#!bash
#網關mac地址
GATEWAY_MAC=00:D0:F8:FF:4A:23
#目的mac地址
DEST_MAC=ff:ff:ff:ff:ff:ff
#目的ip地址
DEST_IP=172.16.18.254
#本地網卡接口
INTERFACE=eth0
#$INTERFACE的mac地址
MY_MAC=00:11:09:E8:78:DD
#$INTERFACE的ip地址
MY_IP=172.16.18.19

#在本機建立靜態ip/mac入口 $DEST_IP–$GATEWAY_MAC
arp -s $DEST_IP $GATEWAY_MAC

#發送arp reply ,使$DEST_IP更新$MY_IP的mac地址為$MY_MAC
arpoison -i $INTERFACE -d $DEST_IP -s $MY_IP -t $DEST_MAC -r $MY_MAC 1>/dev/null &

方法三，arptables防arp攻擊

Centos5安裝：
#http://www.111cn.net
wget http://superb-sea2.dl.sourceforge.net/project/ebtables/arptables/arptables-v0.0.3/arptables-v0.0.3-4.tar.gz
tar zxvf arptables-v0.0.3-4.tar.gz
cd arptables-v0.0.3-4
make
make install

arptables規則設置：

arptables -F
arptables -P INPUT ACCEPT
#默認策略
arptables -A INPUT --src-ip 192.168.1.1 --src-mac 7A:31:14:42:10:01 -j ACCEPT
#允許本網段特定MAC可進入，且IP與MAC相符
arptables -A INPUT --src-mac ! 74:8E:F8:53:DC:C0 -j DROP
#拒絕非網關MAC
arptables -A INPUT --src-ip ! 192.168.1.1 -j DROP
#拒絕非網關IP

保存規則並開機加載：

iptables-save > /etc/sysconfig/arptables
/etc/init.d/arptables save
chkconfig arptables on

規則保存后重新加載會出錯，去除以下文件內-o any字段。


 /etc/sysconfig/arptables

方法四，shell腳本防arp攻擊

#!/bin/bash
declare gw=`route -n | grep -e '^0.0.0.0'`
declare gwname=`echo $gw | grep -oe 'w*$'`
declare gwip=`echo $gw | grep -oe '[0-9]{2,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}'`
declare gwmac=`arp -n | grep -e $gwip | grep -oe '[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-
F]{2}:[0-9A-F]{2}:[0-9A-F]{2}'`
echo "switch $gwname arp: $gwip - $gwmac to static"
arp -s $gwip $gwmac
echo "done, off arp reuqest .."
ifconfig $gwname -arp
echo "all done."