linuxarp病毒

❶ 如何在我的linux查看我的arp表格

在linux中查看arp地址解析协议需要使用终端命令。

以Deepin linux为例，使用终端命令查看arp步骤如下所示：

1、在程序列表中点击打开终端命令程序。

❷ linux运维之LVS（一）

关拆液老于LVS负载均衡

一、什么是负载均衡：

    负载均衡集群提供了一种廉价、有效、透明的方法，来扩展网络设备和

服务器的负载、带宽、增加吞吐量、加强网络数据处理能力，提高网埋此络的灵活性

和可用性。

二、搭建负载均衡服务的需求：

1）把单台计算机无法承受的大规模的并发旅升访问或者数据流量分担到多台节点设备上

分别处理，减少用户等待响应的时间，提升用户体验。

2）单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备结束后，

将结果汇总，返回给用户，系统处理能力得到大幅度提升。

3）7*24的服务保证，任意一个或多个有限节点设备宕机，要求不能影响业务。

三、LVS的介绍：

    LVS是Linux Virtual Server的简写，即Linux虚拟服务器，是一个虚拟的服务器

集群系统，可以在UNIX/LINUX平台下实现负载均衡集群功能。

    该项目是在1998年5月由章文嵩博士组织成立的，是中国国内最早出现的自由

软件项目之一。

四、关于LVS的配置使用：

    LVS负载均衡调度技术是在Linux内核中实现的，因此，被称为Linux

虚拟服务器。我们使用该软件配置LVS时候，不能直接配置内核中的ipvs，

而需要使用ipvs的管理工具ipvsadm进行管理，ipvs的管理工具ipvsadm管理ipvs。

五、LVS技术点小结：

1）真正实现负载均衡的工具是ipvs，工作在linux内核层面。

2）LVS自带的ipvs管理工具是ipvsadm。

3）keepalived实现管理ipvs及对负载均衡器的高可用。

4）Red hat工具Piranha WEB管理实现调度的工具ipvs。

六、LVS体系结构与工作原理：

1）LVS集群负载均衡接收服务的所有入站客户端计算机请求，并根据调度算法决定哪个集群节点应该处理回复请求。

负载均衡（LB）有时也被称为LVS Director(简称 Director).

2）LVS虚拟服务器的体系结构如下图，一组服务器通过高速的局域网或者地理分布

的广域网相互连接，在他们的前端有一个负载调度器（Load Balancer）。负载调度器能

无缝地将网络请求调度到真正的服务器上，从而使得服务器集群的结构对客户是透明的，

客户访问集群系统提供的网络服务就像访问一台高性能、高可用的服务器一样。客户程序

不受服务器集群的影响不需做任何修改。系统的伸缩性通过在服务集群中透明地加入和删除

一个节点来达到，通过检测节点或服务进程故障和正确的重置系统达到高可用性。由于我们的负载调度技术在

linux内核中实现的，我们称之为linux虚拟服务器（Linux Virtual Server）。

七、LVS社区提供了一个命名的约定：

名称：                              缩写         

虚拟IP地址（Virtual IP Address）    VIP

说明：VIP为Director用于向客户端计算机提供服务的ip地址，

比如：www.etiantian.org 域名就解析到vip上提供服务。

-------------------------------------------------------------------------------

真实ip地址(Real Server ip Address)    缩写：VIP

说明：在集群下面节点上使用的ip地址，物理ip地址。

-----------------------------------------------------------------------------------

Director的ip地址(Director ip Adress)  缩写：DIP

说明：Director用于连接内外网络的ip地址，物理网卡上的IP地址，

是负载均衡上的ip。

-------------------------------------------------------------------------------------

客户端主机IP地址(Client IP Address)  缩写：CIP

说明：客户端用户计算机请求集群服务器的IP地址，该地址用作发送

给集群的请求的源ip地址。

----------------------------------------------------------------

LVS集群内部的节点称为真实服务器(Real server)，也叫做集群节点。请求集群服务的

计算机称为客户端计算机。

与计算机通常在网上交换数据包的方式相同，客户端计算机、Director

和真实服务器使用IP地址彼此进行通信。

------------------------------------------------------------------------------------------

八、LVS集群的3种工作模式介绍与原理讲解

1）IP虚拟服务软件ipvs，在调度器的实现技术中，IP负载均衡技术是

效率最高的。在已用的ip负载均衡技术中有通过网络地址转换

（Network Address Translation）将一组服务器构成一个高性能的、高可用的虚拟服务器，

我们称之为VS、NAT技术（Virtual Server Network Adress Translation）。

2）在分析VS/NAT的缺点和网络服务的非对称性的基础上，我们提出通过IP隧道实现虚拟服务器的

方法VS/TUN(Virtual Server via IP Tunneling)和通过直接路由实现虚拟服务

器的方法VS/DR(Virtual Server via Director Routing),它们可以极大地提高系统的伸缩性。

3）淘宝开源的模式FULLNAT。

LVS的四种工作模式：

    缩写及全拼：

NAT(Network Adress Translation)、TUN(Tunneling)、

DR(Director Routing)、FULLNAT(FULL Network address Translation)

-------------------------------------------------------------------------------------------

九、什么是ARP协议：

1) ARP协议：全称"Address Resolution Protocol"，中文名地址解析协议，使用ARP协议可

实现通过IP地址获得得对应主机的物理地址(MAC地址)。

  在TCP/IP的网络环境下，每个联网的主机都会被分配一个32位的ip地址，

  这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在

物理网路上传输，还必须要知道对方目的主机的物理地址(MAC)才行。这样就存在把IP地址变成

物理地址的地址转换的问题。

    在以太网环境，为了正确地目的主机传送报文，必须把目的主机的32位IP

地址转换成为目的主机48位以太网的地址(MAC地址)。这就需要在互联层有一个服务或功能将

IP地址转换为相应的物理地址(MAC地址)，这个服务或者功能就是ARP协议。

    所谓的“地址解析”，就是主机在发送帧之前将目标IP地址转换成目标MAC地址的过程，

ARP协议的基本功能就是通过目标设备的ip地址，查询目标设备的MAC地址，以保证主机

间互相通信的顺利进行。

    ARP协议和DNS有点相像之处，不同点是：DNS是在域名和IP之间的解析，另外，ARP协议不需要

配置服务，而DNS要配置服务才行。

    ARP协议要求通信的主机双方必须在同一个物理网段(即局域网)!

2)关于ARP的小结：

1.ARP全称“Address Resolution Protocol”；

2.实现局域网内通过IP地址获取主机的MAC地址；

3.MAC地址48位主机的物理地址，局域网内唯一；

4.ARP协议类似DNS服务，但不需要配置服务。

5.ARP协议是三层协议。

--------------------------------------------------------------------------------------------------------

十、ARP缓存表：

1）每台安装有TCP/IP协议的电脑都会有一个ARP缓存表(windows 命令提示符里输入arp -a即可)。

  表里的ip地址与MAC地址是一一对应的。

arp常用命令:

    arp -a :查所有记录

    arp -d ：清除

    arp -s ：绑定IP和MAC

2）ARP缓存表是把双刃剑：

1.主机有了arp缓存表，可以加快ARP的解析速度，减少局域网内广播风暴。

2.正是有了arp缓存表，给恶意黑客带来了攻击服务器主机的风险，这个就是arp欺骗攻击。

3.切换路由器，负载均衡器等设备时，可能会导致短时网络中断。

3）为啥用ARP协议？

  OSI模型把网络工作分为七层，彼此不直接通信打交道，只通过接口。IP地址工作在第三层，

MAC地址工作在第二层。当协议在发送数据包时，需要先封装第三层IP地址，第二层MAC地址的报头，

但是协议只知道目的节点的ip地址，不知道目的节点的MAC地址，又不能跨第二、三层，所以得用ARP协议服务，

来帮助获取目的节点的MAC地址。

4）ARP在生产环境产生的问题及解决办法：

1.ARP病毒，ARP欺骗

2.高可用服务器对之间切换时要考虑ARP缓存的问题。

3.路由器等设备无缝迁移时需要考虑ARP缓存的问题，例如：更换办公室的路由器。

5）ARP欺骗原理：

  ARP攻击就是通过伪造IP地址和MAC地址对实现ARP欺骗的，如果一台主机中了ARP病毒，

那么它就能在网络中产生大量的ARP通信量，很快的进行广播以至于使网络阻塞，攻击者

只要持续不断的发出伪造的ARP响应就能更改局域网中目标主机ARP缓存中的IP-MAC条目，

造成网络中断或者中间人攻击。

❸ 电脑开机每次网卡的MAC地址都不一样！

【答案】
MAC地址是每个网卡独有的一个身份证，是物理性的东西，不可能会变的。
如果你每次开机后MAC地址不一样，肯定是软件问题或者ARP病毒伪造假MAC地址。

每张网卡的MAC地址都是唯一绑定不可更改的，也就是物理地址【Physical Address】.
arp病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址（又称MAC地址）。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。
笔记本有两张网卡，你把无线网卡禁用掉，那样MAC地址就不会有变化了，除非中毒了。

MAC地址就成了客户的网上身份证，通过记录MAC地址，即可确认是你上的网！
一、MAC地址的用途
MAC地址在网卡中是固定的，每张网卡的MAC地址都不一样。网卡在制作过程中，厂家会在它的EPROM里面烧录上一组数字，这组数字，每张网卡都各不相同，这就是网卡的MAC（物理）地址。
由于MAC地址的唯一性，因此它主要用来识别网络中用户备蚂的身份。例如ADSL上网时，电信用它来记费，确认是你上的网；在校园网中，MAC地址也 可以用来识别用户。对于校园网的正式用户，其MAC地址会登记在服务器端，假如你是非法用户，服务器中就没有你的网卡MAC地址，这样当你试图连上网时， 服务器就会立刻认出你、阻止你连上网络。
二、MAC地址是可以修改的
有些场合，例如冒充网络中的正式用户，就需要修改你的网卡MAC。要修改MAC地址，你可以通过硬件的方法实现，即利用网卡厂家提供的修改程序来烧录网卡的EEPROM，这样做虽然可行，但是风险很大、操作也复杂，即使你很有经验，也难免在操作败滚森中出现错误。
其实你完全没必要用烧录方法、修改网卡中的MAC地址。要知道Windows安装的时候，会自动从网卡中读入MAC地址，把它存放在注册表中以备 后用。当数据在网络中传输时，从网卡发出的数据包中要求有一个源MAC地址，这个MAC地址就是从注册表中读取的（并非从网卡中读取的），因此只要你修改 了注册表中的MAC地址，就相当于改了网卡EEPROM中的MAC地址，两者实际效果是完全相同的！
三、修改注册表中MAC的方法
1、使用软件修改
本方法适用于所有类型的网卡。在不同的Windows下，要用不同的软件修改MAC。
（1）Win2003/XP/2000
如果你的系统是Win2003/XP/2000，可以使用SMAC（下载地址http://www.klcconsulting.net/smac/#Download）。这款软件并不能修改网卡中的MAC地址，只能修改注册表中的MAC。
该软件有两种运行模式，如果你启用了“Windows Management Instrumentation (WMI)”服务，软件即运行在[WBEM ON]模式下，可以显示更多的网卡信息，否则运行在[WBEM OFF]模式下，在软件窗口标题栏可看到当前运行模式。
软件的使用非常简单，运行后点击“Refresh”，窗口中的列表框将显示网卡的类型、IP地址、Active MAC等，在下面六个输入框中输入你指定的MAC地址（下图1），然后点击右侧的“Update MAC”，即可修改完成；最后重启电脑使修改值生效。
注意，试用版不能输入新的MAC地址，只能把MAC改成0C-0C-0C-0C-0C-01
（2）Win98
如果你的系统是Win98，建议使用“Mac扫描器”，这个工具可以修改注册表中的MAC地址，然后重启电脑使修改生效。
2、在网卡属性中修改
如果你的网卡采用了RealTek公司的RTL8139芯片，就可以在网卡属性中修改MAC，这样注册表中的MAC地址也会一同改变，方法如下：
在Win2003/XP/2000中，点击菜单“开始”/设置/控制面板，双击“系统”，点击“硬件”/设备管理器，在设备管理器中展开“网络适 配器”，右击要修改MAC地址的网卡，选择“属性”；点察亩击“高级”选项卡，在“属性”下，选择点击Network Address项目，在右侧“值”的下方，输入你要指定的MAC地址值（例如020202020202），注意要连续输入12个数字或字母（中间不要输入 -）；重新启动电脑后，修改即可生效。至于Win98下的MAC修改方法，与以上方法类似。
如果修改之后，在Win2003/XP/2000 下，你又想把注册表中的MAC地址恢复成原样，可以选择“Network Address”项，将右边的值选择为“不存在”，再重新启动即可；在Win98下是选择“没有显示”。
3、在注册表中修改
对于非RTL8139芯片的网卡，你可以直接修改注册表中的MAC，注意：修改注册表前，要先备份注册表。
（1）Win2003/XP/2000
点击“开始”/运行，输入regedit打开注册表，定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \0000、0001、0002等主键下，查找DriverDesc的内容，了解网卡使用了哪个主键（例如0001），如果主键下有params项，则该 主键也是网卡所使用的；
例如网卡使用了0001主键，因此我们就选中它，在其右边建一个字符串项（名为NetworkAddress），双击该串，输入你指定的MAC 地址值（注意应该是12位的连续数字或字母，其间没有-号）；在0001下的NDI\params中添加一项子键（名为NetworkAddress）， 选择该子键，在其右边添加名为default的字符串，键值为修改后的MAC地址，与上面的数值相同；修改后重启生效。
（2）Win98
点击“开始”/运行，键入winipcfg选择你要修改的网卡，并记录下MAC地址值；然后点击“开始”/运行，输入regedit打开注册表， 定位到HKEY_LOCAL_MACHINE＼System＼Current ControlSet＼Services＼Class＼Net，下面有“0000”、“0001”、“0002”等子键；从“0000”子键开始点击，依 次查找子键下的“DriverDesc”键内容，直到找到刚才记录的MAC地址为止；
例如网卡使用了0001主键，因此我们就选中它，在其右边新建一个串，名称为networkaddress，再双击该串，输入新的MAC地址值（注意应该是12位的连续数字或字母，其间没有-号）；最后重启电脑使修改生效。
4、linux系统
如果你的系统是linux，想修改系统中的MAC地址（例如改为020202020202），操作方法是：用#ifconfig eth0 down 先把网卡禁用，否则会报告系统忙，无法更改；然后再用ifconfig eth0 hw ether 020202020202 即可。
如果你想永久修改系统中的MAC地址，可以这样操作：在/etc/rc.d/rc.local中加入以下三行(也可在/etc/init.d/network中添加以下三行)
ifconfig eth0 down
ifconfig eth0 hw ether 020202020202
ifconfig eth0 up
四、MAC地址改好了吗？
如果你想知道系统中的MAC地址是否修改成功了，可以这样操作：重启电脑，在命令提示符下，输入IPconfig/all命令，于是Physical Address右边就会显示一个地址，你检查一下即可得知MAC是否修改成功了。

❹ arp病毒 能在Linux 上运行吗Linux上有什么好的杀毒软件吗（免费的）

这是网上一篇教程
arp缓存就是ip地址和mac地址关系缓存列表。在windows下
arp
-d
[$ip]
不指定ip地址时清除所有arp缓存。在linux下
arp
-d
$ip
必须指定ip地址才能执行这条命令的此参数，所有在linux系统下
arp
-d
$ip
命令只能清除一个ip地址的对应mac地址缓存，当然可以使用组合命令操作，这也算是linux的一个优点吧。
组合命令清除所有arp缓存：arp
-n|awk
'/^[1-9]/{system("arp
-d
"$1)}'其实linux也有内部命令清除所有arp缓存，但是不太好记忆，用的人很少。以下命令清除eth0接口的所有arp缓存。ip
neigh
flush
dev
eth0

❺ LINUX服务器受到ARP病毒攻击怎么办

1，可以给电脑装个电脑管家呀
2，然后有ARP防火墙的功能
3，直接打开之后，可以自动的进行拦截保护电脑安全

❻ linux防火墙如何防御ARP攻击

windows下放arp攻击可以用金山ARP防火墙，把网关ip和MAC填上，然后选项里把安全模式的钩勾上就基本没什么问题。Linux没找到这么现成的东西， google上找了一些方法，都自己试过一遍，不是非常管用。

进行arp攻击要做两件事情：
1、欺骗目标机器，攻击机器A告诉目标机器B：我是网关！
2、欺骗网关，攻击机器A告诉网关：我是B！

也就是A进行双向欺骗。
这样做以后目标机器B发给网关的数据包都让攻击机器A给没收了，没有发给网关，所以B就上不了网了。要让B能上网，A需要将从B收到的包转发给网关。(有时候开P2P终结这之类的软件的时候发现别人上不了网了，有时候是因为自己有一个NB的防火墙，有时侯是其他原因，从被控制的机器上发过来的包没有能转发给网关，所以。。。)

我在网上找了一些关于Linux怎么防arp攻击的文章，基本上有这么几种做法。
1、绑定IP-MAC。通过arp -s 或者 arp -f。我就咬定哪个是网关了，你们谁说的话我都不信！
但是有个缺点，必须双向绑定IP-MAC，如果你无法控制路由器，不能在网关那里设置静态IP，这个方法就无效了。
2、既然控制不了网关，我只能告诉网关哪个才是真正的我了。向网关发送自己的IP和MAC。也就是告诉网关：我才是XXX。
（1）用arping，或者arpspoof(arpsniffer)。
命令：arping -U -I 网卡接口 -s 源IP 目标IP
由于命令里面没有指定网关的MAC，所以形同虚设，效果不好。
（2）用arpoison或者ARPSender，可以指定MAC，效果算是比较好，但有时候还是不行。
命令：arpoison -i 网卡接口 -d 网关IP -s 我的IP -t 网关MAC -r 我的MAC
参考了这篇文章： http://hi..com/yk103/blog/item/f39e253f9d6aeeed55e72361.html
我用Wireshark看了一下，发现虽然我指定了目标的MAC，但是我的机器依然会间歇性地往攻击机器发送我的IP和MAC，然后攻击机器利用我的MAC进行双向欺骗。

所以我想，有没有什么办法不让除了网关之外的其他人知道我的MAC呢？后来就找到了一下这篇文章。

文章地址： http://www.kanwi.cn/read-348.html
文章内容：(因为原文地址访问非常慢所以在这里贴出来)
Linux/FreeBSD防止ARP欺骗的一种 被动方法(隐藏MAC)
作者: Knight 日期: 2008-11-17 14:15

文章作者：Helvin
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

首先对国内某些IDC不负责任的行为表示抗议

一般欺骗机器通过ARP Request获得网关的MAC，然后同样方法获得你服务器的MAC进行双向欺骗，然后sniffer密码，挂马之类。
国内几乎所有的IDC都是几百服务器公用一个网关的。然后上百个服务器总有几个有漏洞的，然后你就被ARP欺骗挂马或者抓密码了

下面介绍的是Linux 利用arptables来防止ARP Request获得你的MAC。这样攻击者会认为你的服务器是不存在的（本来很复杂的，需要patch编译内核什么的，上周才发现还有一个 arptables，免编译内核，现在把方法写一下）

Debian/Ubuntu：（runas sudo）CentOS/RHAS 叫arptables_jf
引用:

apt-get install arptables
arptables -A INPUT --src-mac ! 网关MAC -j DROP
arptables -A INPUT -s ! 网关IP -j DROP

如果你有本网的内网机器要互联，可以 引用:

arptables -I INPUT --src-mac 你的其他服务器MAC ACCEPT

如果你的MAC已经被欺骗机器拿到，那只能ifconfig ethx hw ether MAC来修改了

有一定的危险性，请酌情测试，你也可以疯狂刷新网关+本机ARP绑定，看具体需要
还要注意这个时候不要发出ARP Request到除网关以外的其他IP，其后果可能是被其他机器拿到MAC

补充一个FreeBSD下的隐藏MAC的方法
首先sysctl net.link.ether.ipfw=1开启IPFW ether层过滤功能（网桥模式要使用sysctl net.link.ether.bridge_ipfw=1）
然后
ipfw add 00005 allow ip from any to any MAC 网关MAC any /* 打开你到网关的通信 */
ipfw add 00006 allow ip from any to any MAC any 网关MAC /* 打开网关到你的通信 */
/* ........中间你可以添加本网段内需要互联的IP地址MAC双向通信........ */
ipfw add 00010 deny ip from any to any MAC any any /* 关闭所有其他MAC的任何响应 */

如果服务器作为内网网关使用，可以在内网网卡界面
ifconfig em1 -arp /* 关闭ARP响应(假设em0是内网网卡) */
arp -f /etc/arp.list /* 设置静态ARP表 */
以下是ARP(8) 关于arp.list格式的描述，
Cause the file filename to be read and multiple entries to be set
in the ARP tables. Entries in the file should be of the form

hostname ether_addr [temp] [pub]

with argument meanings as given above. Leading whitespace and
empty lines are ignored. A `#' character will mark the rest of
the line as a comment.

我觉得可以把 绑定IP-MAC + arposion + MAC隐藏的方法综合起来
转自 http://hi..com/aj_shuaikun/blog/item/ab39b3d982a59fe038012fd0.html