一、應用背景
由於最近網上新出現一種ARP欺騙病毒,主要表現爲:
中病毒的機器不僅影響自身,同時也會影響同網段的其它機器,將其它機器的HTTP數據包里加入病毒代碼。
這種病毒危害非常大!即使你機器的安全性做得很好,可是沒辦法保證同網段的其它機器安全沒有問題!
解決辦法:在網關和本機上雙向綁定IP和MAC地址,以防止ARP欺騙。
二、約定
1、網關上已經對下面所帶的機器作了綁定。網關IP:192.168.1.1 MAC:00:02:B3:38:08:62
2、要進行綁定的Linux主機IP:192.168.1.2 MAC:00:04:61:9A:8D:B2
三、綁定步驟
1、先使用arp和arp -a查看一下當前ARP緩存列表
[root@ftpsvr ~]# arp
引用:
Address HWtype HWaddress Flags Mask Iface
192.168.1.234 ether 00:04:61:AE:11:2B C eth0
192.168.1.145 ether 00:13:20:E9:11:04 C eth0
192.168.1.1 ether 00:02:B3:38:08:62 C eth0
說明:
Address:主機的IP地址
Hwtype:主機的硬件類型
Hwaddress:主機的硬件地址
Flags Mask:記錄標誌,”C”表示arp高速緩存中的條目,”M”表示靜態的arp條目。
[root@ftpsvr ~]# arp -a
引用:
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:16:76:22:23:86 [ether] on eth0
2、新建一個靜態的mac–>ip對應表文件:ip-mac,將要綁定的IP和MAC地下寫入此文件,格式爲 ip mac。
[root@ftpsvr ~]# echo ‘192.168.1.1 00:02:B3:38:08:62 ‘ > /etc/ip-mac
[root@ftpsvr ~]# more /etc/ip-mac
代碼:
192.168.1.1 00:02:B3:38:08:62
3、設置開機自動綁定
[root@ftpsvr ~]# echo ‘arp -f /etc/ip-mac’ >> /etc/rc.d/rc.local
4、手動執行一下綁定
[root@ftpsvr ~]# arp -f /etc/ip-mac
5、確認綁定是否成功
[root@ftpsvr ~]# arp
引用:
Address HWtype HWaddress Flags Mask Iface
192.168.0.205 ether 00:02:B3:A7:85:48 C eth0
192.168.1.234 ether 00:04:61:AE:11:2B C eth0
192.168.1.1 ether 00:02:B3:38:08:62 CM eth0
[root@ftpsvr ~]# arp -a
引用:
? (192.168.0.205) at 00:02:B3:A7:85:48 [ether] on eth0
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:02:B3:38:08:62 [ether] PERM on eth0
從綁定前後的ARP緩存列表中,可以看到網關(192.168.1.1)的記錄標誌已經改變,說明綁定成功。
清除所有ARP緩存
代碼:
arp -n|awk '/^[1-9]/ {print "arp -d "$1}' | sh
清除ARP
代碼:
arp -d 192.168.0.205