[Ubuntu-zh] 如何抵挡P2Pover之类的arp欺骗攻击

[Robot 马]

请问怎么静态绑定呢？arp -s貌似不是静态的。

在 2010年12月23日 下午1:08，刘洋 <amankwah7在gmail.com> 写道：
> On Thu, Dec 23, 2010 at 12:33:04PM +0800, Robot 马 wrote:
>> 大家好：
>> 我们这儿校园网内有人使用p2pover进行arp欺骗攻击，不知道ubuntu下怎样才能抵挡？
>>
>> 我已经尝试过很多方法，使用过闭源的傻瓜式GUI的ARP防火墙XARP，结果成功发现攻击并抵御住，然而一会之后随着p2pover自动增大流量，xarp就无能为力了；尝试着调到最高的aggressive模式也只是多抵挡了一会而已。（在xarp的GUI里可以看到网关的MAC不断在真、假之间切换。）
>>
>> 又试着使用了软件源里的arpon，（static模式，因为我没有使用DHCP），表现还不如xarp。如果把刷新arp表缓存的timeout改成1s可以多撑一会，但是最后还是被p2pover干掉了。
>>
>> 总结了一下，发现这两者貌似都是在检测到异常ARP包后（或者一段时间后）强制去刷新arp表；而p2pover在发现欺骗不成功后会自动增大流量、提高频率。所以xarp和arpon都无法成功抵挡。
>>
>> 我后来又尝试研究了类似iptable的arptables，试着直接把假的arp包drop掉，从原理上讲应该是可行的，但是却失败了。下面是我写的rule，DROP掉所有非真实网关来的ARP包（比较暴力...）：
>> *filter
>> :INPUT ACCEPT
>> :OUTPUT ACCEPT
>> :FORWARD ACCEPT
>> -A INPUT -j DROP -i eth0  -s 172.0.11.1 ! --src-mac 00:00:5e:00:01:0a
>> -A INPUT -j DROP -i eth0  ! --src-mac 00:00:5e:00:01:0a
>>
>>
>> 请教各位到底怎样才能在LINUX下抵挡arp欺骗攻击？
>
> 补充一下：最好在网关上也能绑定你的MAC和IP，这样你和网关的通信就不用ARP协议了，随它怎么攻击……
>
> --
> ubuntu-zh mailing list
> ubuntu-zh在lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-zh
>



-- 
Robot Shell
http://robotshell.org/