利用arpwatch和arping來防止ARP攻擊

2019-09-08 23:20:07

字體：大中小

來源：轉載

供稿：網友

　　ARPWATCH監聽廣播域內的ARP通信，記錄每臺設備的IP與MAC的對應關系，當發生變化時，發郵件通知。
　　ARP攻擊的常見跡象就是發現網關的MAC地址變生變化。
　　當然,ARPWATCH不是萬能的。因為一般情況下，你的安裝arpwatch的服務器不可能總是能接收到整個網絡的arp事件。想要完全監聽，不得不在交換上做端口鏡象。
　　另外，對路由器的攻擊，因為攻擊包是發給路由器的，假如在適當的位置沒有端口鏡象的支持，也是收不到任何信息的，所以也發現不了攻擊。
　　####################
　　# ARP攻擊監控、處理
　　####################
　　#系統環境：CentOS 5.2
　　#
　　# 安裝 ARPWACTH
　　yum -y install arpwatch
　　# 設備成自動啟動
　　chkconfig arpwatch on
　　# 啟動arpwatch服務
　　serivce arpwatch start 、/etc/init.d/arpwatch start
　　# 設置arpwatch
　　vi /etc/sysconfig/arpwatch
　　# -u : defines with what user id arpwatch should run
　　# -e : the where to send the reports
　　# -s : the -address
　　OPTIONS=”-u pcap -e -s ‘root (Arpwatch)’”
　　使用arping查詢得到mac地址
　　# 遍歷VLAN內的MAC地址
　　#!/bin/bash
　　for i in `seq 254` ; do
　　arping -c2 210.51.44.$i | awk ‘/Unicast reply from/{ print $4,$5 }’ | sed ’s//[//' | sed 's//]//’
　　done
　　報警樣例：
　　hostname:
　　ip address: 210.51.44.1
　　ethernet address: 0:0:24:5b:bb:ac
　　ethernet vendor: CONNECT AS
　　old ethernet address: 0:b:bf:29:d0:56
　　old ethernet vendor: Cisco Systems
　　timestamp: Sunday, December 7, 2008 14:46:34 +0800
　　previous timestamp: Sunday, December 7, 2008 14:46:34 +0800
　　delta: 0 seconds
　　其中，知道網關正確的MAC是0:b:bf:29:d0:56,所以0:0:24:5b:bb:ac就是攻擊者的MAC地址（有一點需要注意，MAC地址也是可以改變的）。使用arping遍歷同網段的IP，得到MAC列表，再grep出這個MAC的IP地址即可。可以把這個MAC地址表保存起來，下次使用。當然，要保證這個文件是正確的，所以還是需要保持更新。

上一篇：蜜罐技術簡介

下一篇：u盤快捷方式,小編告訴你如何清除u盤快捷方式病毒