前言:
曾經因為宿舍里面的同學經常熬夜打游戲,好言相勸不管用,無奈之下使用arp欺騙他們的主機,使之晚上11點之后游戲延遲,掉線,最后,一到11點同學們就都上床睡覺了。
防止arp欺騙的三種思路:
-
在主機上靜態綁定mac地址
-
在主機上arp防火牆
-
利用交換機的防arp欺騙技術,比如DAI
在主機上綁定MAC地址
在windows主機上靜態綁定mac地址:
在linux主機上靜態綁定mac地址:
在路由器上做MAC綁定:
在linux主機上利用arptable防火牆防止arp欺騙(windows上的360或者安全管家都有防arp欺騙的功能)
第一種方法在終端和網關上做mac與IP地址綁定,而第二種方法就是說白了其實還是基於mac和Ip,只不過與第一種實現的方法不一樣,第二種方法是通過防火牆軟件:arptalbes
arptables防火牆是開源的,類似於iptables,免費下載,可以實現在linux系統下的防止arp欺騙
在安裝arpiptables之前要先安裝gcc才行
下載地址:http://sourceforge.net/projects/ebtables/files/arptables
tar xzf arptables-v0.0.4.tar.gz –C /usr/src ./configure 產生一個makefile文件 make make install
在arptables上添加規則:
arptables -A INPUT --src-ip 192.168.80.200 ! --src-mac 01:00:5e:00:00:16 -j DROP
添加規則的意思就是把網關與其真正的mac地址做匹配,如果在入站方向匹配不上就丟包,這就是使用arptables來防止arp欺騙。
note;
- 在iptables當中的命令在這里依然有有效的,比如,查看規則:arptables –L –n
- arptables –save 保存配置