原文:http://bbs.linuxpk.com/viewthread.php?tid=13437
最近朋友服务器每天经常遭遇arp病毒攻击导致网站无法正常运营,问我有没有好的解决策略,经过google了一番尝试了一下终于得到了解决方案,并找出 感染病毒的机器为一台windows机器通知机房,并在本机做好防御策略,问题得到了很好的解决,在这个过程中得到了cuci的热心帮助,在此表示感谢! 好了!话不多说具体操作方法如下:
最近朋友服务器每天经常遭遇arp病毒攻击导致网站无法正常运营,问我有没有好的解决策略,经过google了一番尝试了一下终于得到了解决方案,并找出 感染病毒的机器为一台windows机器通知机房,并在本机做好防御策略,问题得到了很好的解决,在这个过程中得到了cuci的热心帮助,在此表示感谢! 好了!话不多说具体操作方法如下:
1./*找出ARP攻击的机器*/
获取同一网段下所有机器MAC地址的办法
机房有机器中毒,发arp包,通过arpspoof虽然可以解决,也可以找到中毒机器的mac地址,但在机房设备不足的情况下,很难查到mac地址对应的 IP。然后我们可以通过一个循环,使用arping来对整个子网下面的机器发一个包,这样就可以在arp下面查看到相应的mac缓存,进而得到对应的IP地址。
#arp -a 查找你中毒时网关的MAC地址,并记录下来在mac_table里寻找到相对应的机器,仍后就可以找出那台机器感染了ARP病毒。
2./*使用arpspoof抵御ARP攻击*/
#提供方案原创者:yk103,在此表示感谢!
先安装libnet
http://www.packetfactory.net/libnet/dist/libnet.tar.gz
安装arpoison
http://www.arpoison.net/arpoison-0.6.tar.gz
编写arpDefend.sh脚本.
获取同一网段下所有机器MAC地址的办法
机房有机器中毒,发arp包,通过arpspoof虽然可以解决,也可以找到中毒机器的mac地址,但在机房设备不足的情况下,很难查到mac地址对应的 IP。然后我们可以通过一个循环,使用arping来对整个子网下面的机器发一个包,这样就可以在arp下面查看到相应的mac缓存,进而得到对应的IP地址。
脚本跑完后,查看当前目录生成的mac_table。#!/bin/sh#感谢作者:吴洪声for ((i = 1; i < 254; i++))doarping -I eth0 60.191.82.$i -c 1donearp -a > mac_table
#arp -a 查找你中毒时网关的MAC地址,并记录下来在mac_table里寻找到相对应的机器,仍后就可以找出那台机器感染了ARP病毒。
2./*使用arpspoof抵御ARP攻击*/
#提供方案原创者:yk103,在此表示感谢!
先安装libnet
http://www.packetfactory.net/libnet/dist/libnet.tar.gz
tar -xvzf libnet.tar.gz
cd libnet
./configure
make
make install
安装arpoison
http://www.arpoison.net/arpoison-0.6.tar.gz
tar -xvzf arpoison-0.6.tar.gz
cd arpoison
gcc arpoison.c /usr/lib/libnet.a -o arpoison
mv arpoison /usr/sbin
编写arpDefend.sh脚本.
#!bash#arpDefend.sh#yk103#网关mac地址GATEWAY_MAC=00:11:BB:A5:D2:40#目的mac地址DEST_MAC=ff:ff:ff:ff:ff:ff#目的ip地址(网段广播地址)DEST_IP=60.191.82.254#本地网卡接口INTERFACE=eth0#$INTERFACE的mac地址MY_MAC=00:30:48:33:F0:BA#$INTERFACE的ip地址MY_IP=60.191.82.247#在本机建立静态ip/mac入口 $DEST_IP--$GATEWAY_MACarp -s $DEST_IP $GATEWAY_MAC#发送arp reply ,使$DEST_IP更新$MY_IP的mac地址为$MY_MACarpoison -i $INTERFACE -d $DEST_IP -s $MY_IP -t $DEST_MAC -r $MY_MAC 1>/dev/null &
