linuxarp綁定

❶ 如何在linux下禁用ARP協議

ARP關閉方法如下：

名詞解釋
ARP（地址解析協議）
地址解析協議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網路上的所有主機，並接收返回消息，以此確定目標的物理地址；收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網路中各個主機互相信任的基礎上的，網路上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。

方法一：禁用網卡的ARP協議
使用 ifconfig eth0 -arp

方法二：關閉內核的ARP功能
echo 1 > /proc/sys/net/ipv4/conf/eth0/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/eth0/arp_announce

方法三：安裝軟體
安裝arptables（類似iptables），ARP協議還是啟動，但是arptables drop所有進入和出去的包
arptables -A INPUT -j DROP
arptables -A OUTPUT -j DROP

❷ Linux下用什麼方法或軟體可以防止arp攻擊

Ubuntu中文論壇的「BigSnake.NET「結合arpalert寫了一個腳本來做arp防火牆，我感覺效果不錯。（具體請看「參考資料」。）
我這里再稍加概括:
1)安裝arpalert和Perl的ARP模塊（在Ubuntu中叫libnet-arp-perl軟體包）
2）按照參考資料中的說明得到arpdef.pl文件。
3）按照參考資料中的說明修改arpalert.conf。

註：一定要看原文，我這里僅是簡單概括。

❸ 如何在我的linux查看我的arp表格

在linux中查看arp地址解析協議需要使用終端命令。

以Deepin linux為例，使用終端命令查看arp步驟如下所示：

1、在程序列表中點擊打開終端命令程序。

❹ 如何在linux中綁定一個ip地址192.168.0.49,mac地址00:00:39:b2:32:91

1、新建一個靜態的mac-->ip對應表文件：ip-mac，將要綁定的IP和MAC地下寫入此文件，格式為 ip mac。
[root@ftpsvr ~]# echo '192.168.1.1 00:00:00:00:00:00 ' > /etc/ip-mac
[root@ftpsvr ~]# more /etc/ip-mac
192.168.1.1 00:00:00:00:00:00

2、設置開機自動綁定
[root@ftpsvr ~]# echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local

3、手動執行一下綁定
[root@ftpsvr ~]# arp -f /etc/ip-mac

4、確認綁定是否成功
[root@ftpsvr ~]# arp

❺ kail linuxarp為什麼顯示主機無法使用arp

• arp欺騙的原理不多述，基本就是利用發 送假的arp數據包，冒充網關。一般在網上通訊的時候網關的IP和MAC的綁定是放在arp緩存裡面的，假的arp包就會刷新這個緩存，導致本該發送到網關的數據包發到了欺騙 者那裡。解決的辦法就是靜態arp。

❻ linux下防arp

方法一：
首先安裝arptables:
sudo apt-get install arptables
然後定義規則：
sudo arptables -A INPUT --src-mac ! 網關物理地址 -j DROP
sudo arptables -A INPUT -s ! 網關IP -j DROP
sudo arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT
不過這樣就有一點不好，區域網內的資源不能用！
sudo arptables -F
當然我們可以做個腳本，每次開機的時候自動運行！~sudo gedit /etc/init.d/arptables，內容如下：
#! /bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
arptables -A INPUT --src-mac ! 網關物理地址 -j DROP
arptables -A INPUT -s ! 網關IP -j DROP
arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT
然後給arptables加個execution的屬性，
sudo chmod 755 /etc/init.d/arptables
再把arptables設置自動運行，
sudo update-rc.d arptables start 99 S .
用sysv-rc-conf直接設置

方法二：
1、先使用arp和 arp -a查看一下當前ARP緩存列表
[root@ftpsvr ~]# arp
Address HWtype HWaddress Flags Mask Iface
192.168.1.234 ether 00:04:61:AE:11:2B C eth0
192.168.1.145 ether 00:13:20:E9:11:04 C eth0
192.168.1.1 ether 00:02:B3:38:08:62 C eth0
說明：
Address：主機的IP地址
Hwtype：主機的硬體類型
Hwaddress：主機的硬體地址
Flags Mask：記錄標志，」C」表示arp高速緩存中的條目，」M」表示靜態的arp條目。
[root@ftpsvr ~]# arp -a
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:16:76:22:23:86 [ether] on eth0
2、新建一個靜態的mac–>ip對應表文件：ip-mac，將要綁定的IP和MAC 地下寫入此文件，格式為 ip mac。
[root@ftpsvr ~]# echo 『192.168.1.1 00:02:B3:38:08:62 『 > /etc/ip-mac
[root@ftpsvr ~]# more /etc/ip-mac
192.168.1.1 00:02:B3:38:08:62
3、設置開機自動綁定
[root@ftpsvr ~]# echo 『arp -f /etc/ip-mac 『 >> /etc/rc.d/rc.local
4、手動執行一下綁定
[root@ftpsvr ~]# arp -f /etc/ip-mac
5、確認綁定是否成功
[root@ftpsvr ~]# arp
Address HWtype HWaddress Flags Mask Iface
192.168.0.205 ether 00:02:B3:A7:85:48 C eth0
192.168.1.234 ether 00:04:61:AE:11:2B C eth0
192.168.1.1 ether 00:02:B3:38:08:62 CM eth0
[root@ftpsvr ~]# arp -a
? (192.168.0.205) at 00:02:B3:A7:85:48 [ether] on eth0
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:02:B3:38:08:62 [ether] PERM on eth0
從綁定前後的ARP緩存列表中，可以看到網關（192.168.1.1）的記錄標志已經改變，說明綁定成功。

❼ 在啟用DHCP的思科路由器上如何做ARP綁定

啟用DHCP的思科路由器上做ARP綁定方法：

1、進入路由器：打開瀏覽器-輸入192.168.1.1(一般路由器地址是這個)進路由器登錄界面。
2、輸入正確的用戶名和密碼進入路由器管理後台。
3、我們要先查看已有的IP和對應在的MAC地址欄。點擊左側的「DHCP伺服器」，選擇「客戶端列表」，記下右邊顯示的對應的IP和MAC地址，這個一定要記正確。

❽ Linux主機如何防範ARP攻擊

arp欺騙的原理不多述，基本就是利用發 送假的arp數據包，冒充網關。一般在網上通訊的時候網關的IP和MAC的綁定是放在arp 緩存裡面的，假的arp包就會刷新這個緩存，導致本該發送到網關的數據包發到了欺騙 者那裡。解決的辦法就是靜態arp。
假設網關的IP是192.168.0.1，我們要 先得到網關的正確MAC，先ping一下網關：
ping 192.168.0.1

然後運行arp查看arp緩存中的網關MAC：
localhost~$ arp
Address HWtype HWaddress Flags Mask Interface
192.168.0.1 ether 00:12:34:56:78:9A C eth0
、這里得到的網關MAC假定 為00:12:34:56:78:9A，C代表這個綁定是保存在緩沖里的，我們要做的就是把這個IP和 MAC靜態的綁定在一起，首先建立/etc/ethers文件，輸入以下內容：
192.168.0.1 00:12:34:56:78:9A

保存退出，之後便是應 用這個靜態綁定：
localhost~$ arp -f

再運行arp查看：
localhost~$ arp
Address HWtype HWaddress Flags Mask Interface
192.168.0.1 ether 00:12:34:56:78:9A CM eth0
多了個M，表示靜態網關 ～
另外，如果你不會和區域網內的用戶通訊的話，那麼可以乾脆 把arp解析關掉，假定你的網卡是eth0，那麼可以運行：
localhost~$ ifconfig eth0 -arp

這樣對付那些終結者軟體就可以了，但是真的有人 向攻擊的話，這樣還是不夠的，因為攻擊者還可以欺騙網關，解決的辦法就是在網關和 區域網內機器上做雙向綁定，原理方法同上，一般網吧裡面也是這樣做的。

❾ linux防火牆如何防禦ARP攻擊

windows下放arp攻擊可以用金山ARP防火牆，把網關ip和MAC填上，然後選項里把安全模式的鉤勾上就基本沒什麼問題。Linux沒找到這么現成的東西， google上找了一些方法，都自己試過一遍，不是非常管用。

進行arp攻擊要做兩件事情：
1、欺騙目標機器，攻擊機器A告訴目標機器B：我是網關！
2、欺騙網關，攻擊機器A告訴網關：我是B！

也就是A進行雙向欺騙。
這樣做以後目標機器B發給網關的數據包都讓攻擊機器A給沒收了，沒有發給網關，所以B就上不了網了。要讓B能上網，A需要將從B收到的包轉發給網關。(有時候開P2P終結這之類的軟體的時候發現別人上不了網了，有時候是因為自己有一個NB的防火牆，有時侯是其他原因，從被控制的機器上發過來的包沒有能轉發給網關，所以。。。)

我在網上找了一些關於Linux怎麼防arp攻擊的文章，基本上有這么幾種做法。
1、綁定IP-MAC。通過arp -s 或者 arp -f。我就咬定哪個是網關了，你們誰說的話我都不信！
但是有個缺點，必須雙向綁定IP-MAC，如果你無法控制路由器，不能在網關那裡設置靜態IP，這個方法就無效了。
2、既然控制不了網關，我只能告訴網關哪個才是真正的我了。向網關發送自己的IP和MAC。也就是告訴網關：我才是XXX。
（1）用arping，或者arpspoof(arpsniffer)。
命令：arping -U -I 網卡介面 -s 源IP 目標IP
由於命令裡面沒有指定網關的MAC，所以形同虛設，效果不好。
（2）用arpoison或者ARPSender，可以指定MAC，效果算是比較好，但有時候還是不行。
命令：arpoison -i 網卡介面 -d 網關IP -s 我的IP -t 網關MAC -r 我的MAC
參考了這篇文章： http://hi..com/yk103/blog/item/f39e253f9d6aeeed55e72361.html
我用Wireshark看了一下，發現雖然我指定了目標的MAC，但是我的機器依然會間歇性地往攻擊機器發送我的IP和MAC，然後攻擊機器利用我的MAC進行雙向欺騙。

所以我想，有沒有什麼辦法不讓除了網關之外的其他人知道我的MAC呢？後來就找到了一下這篇文章。

文章地址： http://www.kanwi.cn/read-348.html
文章內容：(因為原文地址訪問非常慢所以在這里貼出來)
Linux/FreeBSD防止ARP欺騙的一種 被動方法(隱藏MAC)
作者: Knight 日期: 2008-11-17 14:15

文章作者：Helvin
信息來源：邪惡八進制信息安全團隊（www.eviloctal.com）

首先對國內某些IDC不負責任的行為表示抗議

一般欺騙機器通過ARP Request獲得網關的MAC，然後同樣方法獲得你伺服器的MAC進行雙向欺騙，然後sniffer密碼，掛馬之類。
國內幾乎所有的IDC都是幾百伺服器公用一個網關的。然後上百個伺服器總有幾個有漏洞的，然後你就被ARP欺騙掛馬或者抓密碼了

下面介紹的是Linux 利用arptables來防止ARP Request獲得你的MAC。這樣攻擊者會認為你的伺服器是不存在的（本來很復雜的，需要patch編譯內核什麼的，上周才發現還有一個 arptables，免編譯內核，現在把方法寫一下）

Debian/Ubuntu：（runas sudo）CentOS/RHAS 叫arptables_jf
引用:

apt-get install arptables
arptables -A INPUT --src-mac ! 網關MAC -j DROP
arptables -A INPUT -s ! 網關IP -j DROP

如果你有本網的內網機器要互聯，可以 引用:

arptables -I INPUT --src-mac 你的其他伺服器MAC ACCEPT

如果你的MAC已經被欺騙機器拿到，那隻能ifconfig ethx hw ether MAC來修改了

有一定的危險性，請酌情測試，你也可以瘋狂刷新網關+本機ARP綁定，看具體需要
還要注意這個時候不要發出ARP Request到除網關以外的其他IP，其後果可能是被其他機器拿到MAC

補充一個FreeBSD下的隱藏MAC的方法
首先sysctl net.link.ether.ipfw=1開啟IPFW ether層過濾功能（網橋模式要使用sysctl net.link.ether.bridge_ipfw=1）
然後
ipfw add 00005 allow ip from any to any MAC 網關MAC any /* 打開你到網關的通信 */
ipfw add 00006 allow ip from any to any MAC any 網關MAC /* 打開網關到你的通信 */
/* ........中間你可以添加本網段內需要互聯的IP地址MAC雙向通信........ */
ipfw add 00010 deny ip from any to any MAC any any /* 關閉所有其他MAC的任何響應 */

如果伺服器作為內網網關使用，可以在內網網卡界面
ifconfig em1 -arp /* 關閉ARP響應(假設em0是內網網卡) */
arp -f /etc/arp.list /* 設置靜態ARP表 */
以下是ARP(8) 關於arp.list格式的描述，
Cause the file filename to be read and multiple entries to be set
in the ARP tables. Entries in the file should be of the form

hostname ether_addr [temp] [pub]

with argument meanings as given above. Leading whitespace and
empty lines are ignored. A `#' character will mark the rest of
the line as a comment.

我覺得可以把 綁定IP-MAC + arposion + MAC隱藏的方法綜合起來
轉自 http://hi..com/aj_shuaikun/blog/item/ab39b3d982a59fe038012fd0.html

❿ 如何給linux給ARP表添加條目

Liunx添加ARP表方式如下:
[功能]
管理系統的arp緩存。

[描述]
用來管理系統的arp緩存，常用的命令包括：
arp: 顯示所有的表項。
arp -d address: 刪除一個arp表項。
arp -s address hw_addr: 設置一個arp表項。

常用參數：
-a 使用bsd形式輸出。（沒有固定的列）
-n 使用數字形式顯示ip地址，而不是默認的主機名形式。
-D 不是指定硬體地址而是指定一個網路介面的名稱，表項將使用相應介面的MAC地址。一般用來設置ARP代理。
-H type, --hw-type type: 指定檢查特定類型的表項，默認type為ether，還有其他類型。
-i If, --device If: 指定設置哪個網路介面上面的arp表項。
-f filename: 作用同'-s',不過它通過文件來指定IP地址和MAC地址的綁定。文件中每行分別是主機和MAC，中間以空格分割。如果沒有指定文件名稱，則使用/etc/ethers文件。

以下例子中，用主機名稱的地方也可以用點分10進制的ip地址來表示。另外輸出結果中用"C"表示ARP緩存內容，"M"表示永久性表項，"P"表示公共的表項。

[舉例]
*查看arp表：
#arp
Address HWtype HWaddress FlagsMask Iface
hostname1 ether 44:37:e6:97:92:16 C eth0
hostname2 ether 00:0f:fe:43:28:c5 C eth0
hostname3 ether 00:1d:92:e3:d5:ee C eth0
hostname4 ether 00:1d:0f:11:f2:a5 C eth0
這里，Flags中的"C"代表此表項目是高速緩存中的內容，高速緩存中的內容過一段時間（一般20分鍾）會清空，而"M"則表示靜態表項，靜態表項的內容不會過一段時間被清空。

*查看arp表，並且用ip顯示而不是主機名稱：
# arp -n
Address HWtype HWaddress FlagsMask Iface
10.1.10.254 ether 00:1d:92:e3:d5:ee C eth0
10.1.10.253 ether 44:37:e6:9b:2c:53 C eth0
10.1.10.178 ether 00:1b:78:83:d9:85 C eth0
10.1.10.119 ether 00:1d:0f:11:f2:a5 C eth0
這里，對於上面的條目，假設當我們"ping 10.1.10.1"通過之後，arp中會多一條"10.1.10.1"相關的信息。

*查看arp表，顯示主機名稱和ip：
#arp -a
ns.amazon.esdl.others.com (10.1.10.254) at00:1d:92:e3:d5:ee [ether] on eth0
server.amazon.eadl.others.com (10.1.10.253) at44:37:e6:9b:2c:53 [ether] on eth0
D2-jh.amazon.esdl.others.com (10.1.10.178) at00:1b:78:83:d9:85 [ether] on eth0
aplab.local (10.1.10.119) at 00:1d:0f:11:f2:a5[ether] on eth0

*添加一對IP和MAC地址的綁定：
# arp -s 10.1.1.1 00:11:22:33:44:55:66
這里，如果網路無法達到，那麼會報告錯誤，具體如下：
root@quietheart:/home/lv-k# arp -s 10.1.1.100:11:22:33:44:55:66
SIOCSARP: Network is unreachable
root@quietheart:/home/lv-k# arp -n
Address HWtype HWaddress FlagsMask Iface
10.1.10.254 ether 00:1d:92:e3:d5:ee C eth0
10.1.10.253 ether 44:37:e6:9b:2c:53 C eth0
10.1.10.178 ether 00:1b:78:83:d9:85 C eth0
10.1.10.119 ether 00:1d:0f:11:f2:a5 C eth0
實際上，如果"arp -s"設置成功之後，會增加一個Flags為"CM"的表項，有些系統靜態條目不會因為ARP響應而更新，而高速緩存中的條目會因此而更新。如果想要手工設置沒有"M"，那麼用"temp"選項，例如："arp -s IP MAC temp"類似的命令，實踐發現，如果已經設置過IP了，那麼再設置也不會改變其Flags。

*刪除一個arp表項：
# arp -d 10.1.10.118
這里，刪除之後只是硬體地址沒有了，如下：
root@quietheart:~# arp -n
Address HWtype HWaddress FlagsMask Iface
10.1.10.118 ether 00:25:9c:c2:79:90 CM eth0
10.1.10.254 ether 00:1d:92:e3:d5:ee C eth0
root@quietheart:~# arp -d 10.1.10.118
root@quietheart:~# arp -n
Address HWtype HWaddress FlagsMask Iface
10.1.10.118 (incomplete) eth0
10.1.10.254 ether 00:1d:92:e3:d5:ee C

*刪除eth0上面的一個arp表項：
# arp -i eth0 -d 10.1.10.118

[其它]
*指定回復的MAC地址：
#/usr/sbin/arp -i eth0 -Ds 10.0.0.2 eth1 pub
當eth0收到IP地址為10.0.0.2的請求時，將會用eth1的MAC地址回答。
例如，雙網卡機器運行這條命令：
/usr/sbin/arp -i eth0 -Ds 10.0.0.2 eth1 pub
會多一項：
10.0.0.2 * MP eth0