linuxarp病毒

❶ 如何在我的linux查看我的arp表格

在linux中查看arp地址解析協議需要使用終端命令。

以Deepin linux為例，使用終端命令查看arp步驟如下所示：

1、在程序列表中點擊打開終端命令程序。

❷ linux運維之LVS（一）

關拆液老於LVS負載均衡

一、什麼是負載均衡：

    負載均衡集群提供了一種廉價、有效、透明的方法，來擴展網路設備和

伺服器的負載、帶寬、增加吞吐量、加強網路數據處理能力，提高網埋此絡的靈活性

和可用性。

二、搭建負載均衡服務的需求：

1）把單台計算機無法承受的大規模的並發旅升訪問或者數據流量分擔到多台節點設備上

分別處理，減少用戶等待響應的時間，提升用戶體驗。

2）單個重負載的運算分擔到多台節點設備上做並行處理，每個節點設備結束後，

將結果匯總，返回給用戶，系統處理能力得到大幅度提升。

3）7*24的服務保證，任意一個或多個有限節點設備宕機，要求不能影響業務。

三、LVS的介紹：

    LVS是Linux Virtual Server的簡寫，即Linux虛擬伺服器，是一個虛擬的伺服器

集群系統，可以在UNIX/LINUX平台下實現負載均衡集群功能。

    該項目是在1998年5月由章文嵩博士組織成立的，是中國國內最早出現的自由

軟體項目之一。

四、關於LVS的配置使用：

    LVS負載均衡調度技術是在Linux內核中實現的，因此，被稱為Linux

虛擬伺服器。我們使用該軟體配置LVS時候，不能直接配置內核中的ipvs，

而需要使用ipvs的管理工具ipvsadm進行管理，ipvs的管理工具ipvsadm管理ipvs。

五、LVS技術點小結：

1）真正實現負載均衡的工具是ipvs，工作在linux內核層面。

2）LVS自帶的ipvs管理工具是ipvsadm。

3）keepalived實現管理ipvs及對負載均衡器的高可用。

4）Red hat工具Piranha WEB管理實現調度的工具ipvs。

六、LVS體系結構與工作原理：

1）LVS集群負載均衡接收服務的所有入站客戶端計算機請求，並根據調度演算法決定哪個集群節點應該處理回復請求。

負載均衡（LB）有時也被稱為LVS Director(簡稱 Director).

2）LVS虛擬伺服器的體系結構如下圖，一組伺服器通過高速的區域網或者地理分布

的廣域網相互連接，在他們的前端有一個負載調度器（Load Balancer）。負載調度器能

無縫地將網路請求調度到真正的伺服器上，從而使得伺服器集群的結構對客戶是透明的，

客戶訪問集群系統提供的網路服務就像訪問一台高性能、高可用的伺服器一樣。客戶程序

不受伺服器集群的影響不需做任何修改。系統的伸縮性通過在服務集群中透明地加入和刪除

一個節點來達到，通過檢測節點或服務進程故障和正確的重置系統達到高可用性。由於我們的負載調度技術在

linux內核中實現的，我們稱之為linux虛擬伺服器（Linux Virtual Server）。

七、LVS社區提供了一個命名的約定：

名稱：                              縮寫         

虛擬IP地址（Virtual IP Address）    VIP

說明：VIP為Director用於向客戶端計算機提供服務的ip地址，

比如：www.etiantian.org 域名就解析到vip上提供服務。

-------------------------------------------------------------------------------

真實ip地址(Real Server ip Address)    縮寫：VIP

說明：在集群下面節點上使用的ip地址，物理ip地址。

-----------------------------------------------------------------------------------

Director的ip地址(Director ip Adress)  縮寫：DIP

說明：Director用於連接內外網路的ip地址，物理網卡上的IP地址，

是負載均衡上的ip。

-------------------------------------------------------------------------------------

客戶端主機IP地址(Client IP Address)  縮寫：CIP

說明：客戶端用戶計算機請求集群伺服器的IP地址，該地址用作發送

給集群的請求的源ip地址。

----------------------------------------------------------------

LVS集群內部的節點稱為真實伺服器(Real server)，也叫做集群節點。請求集群服務的

計算機稱為客戶端計算機。

與計算機通常在網上交換數據包的方式相同，客戶端計算機、Director

和真實伺服器使用IP地址彼此進行通信。

------------------------------------------------------------------------------------------

八、LVS集群的3種工作模式介紹與原理講解

1）IP虛擬服務軟體ipvs，在調度器的實現技術中，IP負載均衡技術是

效率最高的。在已用的ip負載均衡技術中有通過網路地址轉換

（Network Address Translation）將一組伺服器構成一個高性能的、高可用的虛擬伺服器，

我們稱之為VS、NAT技術（Virtual Server Network Adress Translation）。

2）在分析VS/NAT的缺點和網路服務的非對稱性的基礎上，我們提出通過IP隧道實現虛擬伺服器的

方法VS/TUN(Virtual Server via IP Tunneling)和通過直接路由實現虛擬服務

器的方法VS/DR(Virtual Server via Director Routing),它們可以極大地提高系統的伸縮性。

3）淘寶開源的模式FULLNAT。

LVS的四種工作模式：

    縮寫及全拼：

NAT(Network Adress Translation)、TUN(Tunneling)、

DR(Director Routing)、FULLNAT(FULL Network address Translation)

-------------------------------------------------------------------------------------------

九、什麼是ARP協議：

1) ARP協議：全稱"Address Resolution Protocol"，中文名地址解析協議，使用ARP協議可

實現通過IP地址獲得得對應主機的物理地址(MAC地址)。

  在TCP/IP的網路環境下，每個聯網的主機都會被分配一個32位的ip地址，

  這種互聯網地址是在網際范圍標識主機的一種邏輯地址。為了讓報文在

物理網路上傳輸，還必須要知道對方目的主機的物理地址(MAC)才行。這樣就存在把IP地址變成

物理地址的地址轉換的問題。

    在乙太網環境，為了正確地目的主機傳送報文，必須把目的主機的32位IP

地址轉換成為目的主機48位乙太網的地址(MAC地址)。這就需要在互聯層有一個服務或功能將

IP地址轉換為相應的物理地址(MAC地址)，這個服務或者功能就是ARP協議。

    所謂的「地址解析」，就是主機在發送幀之前將目標IP地址轉換成目標MAC地址的過程，

ARP協議的基本功能就是通過目標設備的ip地址，查詢目標設備的MAC地址，以保證主機

間互相通信的順利進行。

    ARP協議和DNS有點相像之處，不同點是：DNS是在域名和IP之間的解析，另外，ARP協議不需要

配置服務，而DNS要配置服務才行。

    ARP協議要求通信的主機雙方必須在同一個物理網段(即區域網)!

2)關於ARP的小結：

1.ARP全稱「Address Resolution Protocol」；

2.實現區域網內通過IP地址獲取主機的MAC地址；

3.MAC地址48位主機的物理地址，區域網內唯一；

4.ARP協議類似DNS服務，但不需要配置服務。

5.ARP協議是三層協議。

--------------------------------------------------------------------------------------------------------

十、ARP緩存表：

1）每台安裝有TCP/IP協議的電腦都會有一個ARP緩存表(windows 命令提示符里輸入arp -a即可)。

  表裡的ip地址與MAC地址是一一對應的。

arp常用命令:

    arp -a :查所有記錄

    arp -d ：清除

    arp -s ：綁定IP和MAC

2）ARP緩存表是把雙刃劍：

1.主機有了arp緩存表，可以加快ARP的解析速度，減少區域網內廣播風暴。

2.正是有了arp緩存表，給惡意黑客帶來了攻擊伺服器主機的風險，這個就是arp欺騙攻擊。

3.切換路由器，負載均衡器等設備時，可能會導致短時網路中斷。

3）為啥用ARP協議？

  OSI模型把網路工作分為七層，彼此不直接通信打交道，只通過介面。IP地址工作在第三層，

MAC地址工作在第二層。當協議在發送數據包時，需要先封裝第三層IP地址，第二層MAC地址的報頭，

但是協議只知道目的節點的ip地址，不知道目的節點的MAC地址，又不能跨第二、三層，所以得用ARP協議服務，

來幫助獲取目的節點的MAC地址。

4）ARP在生產環境產生的問題及解決辦法：

1.ARP病毒，ARP欺騙

2.高可用伺服器對之間切換時要考慮ARP緩存的問題。

3.路由器等設備無縫遷移時需要考慮ARP緩存的問題，例如：更換辦公室的路由器。

5）ARP欺騙原理：

  ARP攻擊就是通過偽造IP地址和MAC地址對實現ARP欺騙的，如果一台主機中了ARP病毒，

那麼它就能在網路中產生大量的ARP通信量，很快的進行廣播以至於使網路阻塞，攻擊者

只要持續不斷的發出偽造的ARP響應就能更改區域網中目標主機ARP緩存中的IP-MAC條目，

造成網路中斷或者中間人攻擊。

❸ 電腦開機每次網卡的MAC地址都不一樣！

【答案】
MAC地址是每個網卡獨有的一個身份證，是物理性的東西，不可能會變的。
如果你每次開機後MAC地址不一樣，肯定是軟體問題或者ARP病毒偽造假MAC地址。

每張網卡的MAC地址都是唯一綁定不可更改的，也就是物理地址【Physical Address】.
arp病毒並不是某一種病毒的名稱，而是對利用arp協議的漏洞進行傳播的一類病毒的總稱。arp協議是TCP/IP協議組的一個協議，用於進行把網路地址翻譯成物理地址（又稱MAC地址）。通常此類攻擊的手段有兩種：路由欺騙和網關欺騙。是一種入侵電腦的木馬病毒。對電腦用戶私密信息的威脅很大。
筆記本有兩張網卡，你把無線網卡禁用掉，那樣MAC地址就不會有變化了，除非中毒了。

MAC地址就成了客戶的網上身份證，通過記錄MAC地址，即可確認是你上的網！
一、MAC地址的用途
MAC地址在網卡中是固定的，每張網卡的MAC地址都不一樣。網卡在製作過程中，廠家會在它的EPROM裡面燒錄上一組數字，這組數字，每張網卡都各不相同，這就是網卡的MAC（物理）地址。
由於MAC地址的唯一性，因此它主要用來識別網路中用戶備螞的身份。例如ADSL上網時，電信用它來記費，確認是你上的網；在校園網中，MAC地址也 可以用來識別用戶。對於校園網的正式用戶，其MAC地址會登記在伺服器端，假如你是非法用戶，伺服器中就沒有你的網卡MAC地址，這樣當你試圖連上網時， 伺服器就會立刻認出你、阻止你連上網路。
二、MAC地址是可以修改的
有些場合，例如冒充網路中的正式用戶，就需要修改你的網卡MAC。要修改MAC地址，你可以通過硬體的方法實現，即利用網卡廠家提供的修改程序來燒錄網卡的EEPROM，這樣做雖然可行，但是風險很大、操作也復雜，即使你很有經驗，也難免在操作敗滾森中出現錯誤。
其實你完全沒必要用燒錄方法、修改網卡中的MAC地址。要知道Windows安裝的時候，會自動從網卡中讀入MAC地址，把它存放在注冊表中以備 後用。當數據在網路中傳輸時，從網卡發出的數據包中要求有一個源MAC地址，這個MAC地址就是從注冊表中讀取的（並非從網卡中讀取的），因此只要你修改 了注冊表中的MAC地址，就相當於改了網卡EEPROM中的MAC地址，兩者實際效果是完全相同的！
三、修改注冊表中MAC的方法
1、使用軟體修改
本方法適用於所有類型的網卡。在不同的Windows下，要用不同的軟體修改MAC。
（1）Win2003/XP/2000
如果你的系統是Win2003/XP/2000，可以使用SMAC（下載地址http://www.klcconsulting.net/smac/#Download）。這款軟體並不能修改網卡中的MAC地址，只能修改注冊表中的MAC。
該軟體有兩種運行模式，如果你啟用了「Windows Management Instrumentation (WMI)」服務，軟體即運行在[WBEM ON]模式下，可以顯示更多的網卡信息，否則運行在[WBEM OFF]模式下，在軟體窗口標題欄可看到當前運行模式。
軟體的使用非常簡單，運行後點擊「Refresh」，窗口中的列表框將顯示網卡的類型、IP地址、Active MAC等，在下面六個輸入框中輸入你指定的MAC地址（下圖1），然後點擊右側的「Update MAC」，即可修改完成；最後重啟電腦使修改值生效。
注意，試用版不能輸入新的MAC地址，只能把MAC改成0C-0C-0C-0C-0C-01
（2）Win98
如果你的系統是Win98，建議使用「Mac掃描器」，這個工具可以修改注冊表中的MAC地址，然後重啟電腦使修改生效。
2、在網卡屬性中修改
如果你的網卡採用了RealTek公司的RTL8139晶元，就可以在網卡屬性中修改MAC，這樣注冊表中的MAC地址也會一同改變，方法如下：
在Win2003/XP/2000中，點擊菜單「開始」/設置/控制面板，雙擊「系統」，點擊「硬體」/設備管理器，在設備管理器中展開「網路適 配器」，右擊要修改MAC地址的網卡，選擇「屬性」；點察畝擊「高級」選項卡，在「屬性」下，選擇點擊Network Address項目，在右側「值」的下方，輸入你要指定的MAC地址值（例如020202020202），注意要連續輸入12個數字或字母（中間不要輸入 -）；重新啟動電腦後，修改即可生效。至於Win98下的MAC修改方法，與以上方法類似。
如果修改之後，在Win2003/XP/2000 下，你又想把注冊表中的MAC地址恢復成原樣，可以選擇「Network Address」項，將右邊的值選擇為「不存在」，再重新啟動即可；在Win98下是選擇「沒有顯示」。
3、在注冊表中修改
對於非RTL8139晶元的網卡，你可以直接修改注冊表中的MAC，注意：修改注冊表前，要先備份注冊表。
（1）Win2003/XP/2000
點擊「開始」/運行，輸入regedit打開注冊表，定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \0000、0001、0002等主鍵下，查找DriverDesc的內容，了解網卡使用了哪個主鍵（例如0001），如果主鍵下有params項，則該 主鍵也是網卡所使用的；
例如網卡使用了0001主鍵，因此我們就選中它，在其右邊建一個字元串項（名為NetworkAddress），雙擊該串，輸入你指定的MAC 地址值（注意應該是12位的連續數字或字母，其間沒有-號）；在0001下的NDI\params中添加一項子鍵（名為NetworkAddress）， 選擇該子鍵，在其右邊添加名為default的字元串，鍵值為修改後的MAC地址，與上面的數值相同；修改後重啟生效。
（2）Win98
點擊「開始」/運行，鍵入winipcfg選擇你要修改的網卡，並記錄下MAC地址值；然後點擊「開始」/運行，輸入regedit打開注冊表， 定位到HKEY_LOCAL_MACHINE＼System＼Current ControlSet＼Services＼Class＼Net，下面有「0000」、「0001」、「0002」等子鍵；從「0000」子鍵開始點擊，依 次查找子鍵下的「DriverDesc」鍵內容，直到找到剛才記錄的MAC地址為止；
例如網卡使用了0001主鍵，因此我們就選中它，在其右邊新建一個串，名稱為networkaddress，再雙擊該串，輸入新的MAC地址值（注意應該是12位的連續數字或字母，其間沒有-號）；最後重啟電腦使修改生效。
4、linux系統
如果你的系統是linux，想修改系統中的MAC地址（例如改為020202020202），操作方法是：用#ifconfig eth0 down 先把網卡禁用，否則會報告系統忙，無法更改；然後再用ifconfig eth0 hw ether 020202020202 即可。
如果你想永久修改系統中的MAC地址，可以這樣操作：在/etc/rc.d/rc.local中加入以下三行(也可在/etc/init.d/network中添加以下三行)
ifconfig eth0 down
ifconfig eth0 hw ether 020202020202
ifconfig eth0 up
四、MAC地址改好了嗎？
如果你想知道系統中的MAC地址是否修改成功了，可以這樣操作：重啟電腦，在命令提示符下，輸入IPconfig/all命令，於是Physical Address右邊就會顯示一個地址，你檢查一下即可得知MAC是否修改成功了。

❹ arp病毒 能在Linux 上運行嗎Linux上有什麼好的殺毒軟體嗎（免費的）

這是網上一篇教程
arp緩存就是ip地址和mac地址關系緩存列表。在windows下
arp
-d
[$ip]
不指定ip地址時清除所有arp緩存。在linux下
arp
-d
$ip
必須指定ip地址才能執行這條命令的此參數，所有在linux系統下
arp
-d
$ip
命令只能清除一個ip地址的對應mac地址緩存，當然可以使用組合命令操作，這也算是linux的一個優點吧。
組合命令清除所有arp緩存：arp
-n|awk
'/^[1-9]/{system("arp
-d
"$1)}'其實linux也有內部命令清除所有arp緩存，但是不太好記憶，用的人很少。以下命令清除eth0介面的所有arp緩存。ip
neigh
flush
dev
eth0

❺ LINUX伺服器受到ARP病毒攻擊怎麼辦

1，可以給電腦裝個電腦管家呀
2，然後有ARP防火牆的功能
3，直接打開之後，可以自動的進行攔截保護電腦安全

❻ linux防火牆如何防禦ARP攻擊

windows下放arp攻擊可以用金山ARP防火牆，把網關ip和MAC填上，然後選項里把安全模式的鉤勾上就基本沒什麼問題。Linux沒找到這么現成的東西， google上找了一些方法，都自己試過一遍，不是非常管用。

進行arp攻擊要做兩件事情：
1、欺騙目標機器，攻擊機器A告訴目標機器B：我是網關！
2、欺騙網關，攻擊機器A告訴網關：我是B！

也就是A進行雙向欺騙。
這樣做以後目標機器B發給網關的數據包都讓攻擊機器A給沒收了，沒有發給網關，所以B就上不了網了。要讓B能上網，A需要將從B收到的包轉發給網關。(有時候開P2P終結這之類的軟體的時候發現別人上不了網了，有時候是因為自己有一個NB的防火牆，有時侯是其他原因，從被控制的機器上發過來的包沒有能轉發給網關，所以。。。)

我在網上找了一些關於Linux怎麼防arp攻擊的文章，基本上有這么幾種做法。
1、綁定IP-MAC。通過arp -s 或者 arp -f。我就咬定哪個是網關了，你們誰說的話我都不信！
但是有個缺點，必須雙向綁定IP-MAC，如果你無法控制路由器，不能在網關那裡設置靜態IP，這個方法就無效了。
2、既然控制不了網關，我只能告訴網關哪個才是真正的我了。向網關發送自己的IP和MAC。也就是告訴網關：我才是XXX。
（1）用arping，或者arpspoof(arpsniffer)。
命令：arping -U -I 網卡介面 -s 源IP 目標IP
由於命令裡面沒有指定網關的MAC，所以形同虛設，效果不好。
（2）用arpoison或者ARPSender，可以指定MAC，效果算是比較好，但有時候還是不行。
命令：arpoison -i 網卡介面 -d 網關IP -s 我的IP -t 網關MAC -r 我的MAC
參考了這篇文章： http://hi..com/yk103/blog/item/f39e253f9d6aeeed55e72361.html
我用Wireshark看了一下，發現雖然我指定了目標的MAC，但是我的機器依然會間歇性地往攻擊機器發送我的IP和MAC，然後攻擊機器利用我的MAC進行雙向欺騙。

所以我想，有沒有什麼辦法不讓除了網關之外的其他人知道我的MAC呢？後來就找到了一下這篇文章。

文章地址： http://www.kanwi.cn/read-348.html
文章內容：(因為原文地址訪問非常慢所以在這里貼出來)
Linux/FreeBSD防止ARP欺騙的一種 被動方法(隱藏MAC)
作者: Knight 日期: 2008-11-17 14:15

文章作者：Helvin
信息來源：邪惡八進制信息安全團隊（www.eviloctal.com）

首先對國內某些IDC不負責任的行為表示抗議

一般欺騙機器通過ARP Request獲得網關的MAC，然後同樣方法獲得你伺服器的MAC進行雙向欺騙，然後sniffer密碼，掛馬之類。
國內幾乎所有的IDC都是幾百伺服器公用一個網關的。然後上百個伺服器總有幾個有漏洞的，然後你就被ARP欺騙掛馬或者抓密碼了

下面介紹的是Linux 利用arptables來防止ARP Request獲得你的MAC。這樣攻擊者會認為你的伺服器是不存在的（本來很復雜的，需要patch編譯內核什麼的，上周才發現還有一個 arptables，免編譯內核，現在把方法寫一下）

Debian/Ubuntu：（runas sudo）CentOS/RHAS 叫arptables_jf
引用:

apt-get install arptables
arptables -A INPUT --src-mac ! 網關MAC -j DROP
arptables -A INPUT -s ! 網關IP -j DROP

如果你有本網的內網機器要互聯，可以 引用:

arptables -I INPUT --src-mac 你的其他伺服器MAC ACCEPT

如果你的MAC已經被欺騙機器拿到，那隻能ifconfig ethx hw ether MAC來修改了

有一定的危險性，請酌情測試，你也可以瘋狂刷新網關+本機ARP綁定，看具體需要
還要注意這個時候不要發出ARP Request到除網關以外的其他IP，其後果可能是被其他機器拿到MAC

補充一個FreeBSD下的隱藏MAC的方法
首先sysctl net.link.ether.ipfw=1開啟IPFW ether層過濾功能（網橋模式要使用sysctl net.link.ether.bridge_ipfw=1）
然後
ipfw add 00005 allow ip from any to any MAC 網關MAC any /* 打開你到網關的通信 */
ipfw add 00006 allow ip from any to any MAC any 網關MAC /* 打開網關到你的通信 */
/* ........中間你可以添加本網段內需要互聯的IP地址MAC雙向通信........ */
ipfw add 00010 deny ip from any to any MAC any any /* 關閉所有其他MAC的任何響應 */

如果伺服器作為內網網關使用，可以在內網網卡界面
ifconfig em1 -arp /* 關閉ARP響應(假設em0是內網網卡) */
arp -f /etc/arp.list /* 設置靜態ARP表 */
以下是ARP(8) 關於arp.list格式的描述，
Cause the file filename to be read and multiple entries to be set
in the ARP tables. Entries in the file should be of the form

hostname ether_addr [temp] [pub]

with argument meanings as given above. Leading whitespace and
empty lines are ignored. A `#' character will mark the rest of
the line as a comment.

我覺得可以把 綁定IP-MAC + arposion + MAC隱藏的方法綜合起來
轉自 http://hi..com/aj_shuaikun/blog/item/ab39b3d982a59fe038012fd0.html