如果環境中有電腦中了 161816.com 的 ARP 病毒,要該如何解決呢?之前有po Windows Server的預防跟解決方法,請參考這篇[資訊安全]如何解決麻煩的161816.com ARP Spoofing,但如果是Linux系統該如何預防呢?
Linux下防範arp攻擊有一些基本的防範方法,可以防止一些簡單的攻擊,那就是設定靜態arp。設定靜態arp是最理想的防制方法,網路內電腦的ARP table一律改用靜態的方式來防範arp spoofing,不過這在大型的網路中應該是不可行的,因為需要經常更新每電腦的ARP表,可能會造成網管人員很大的Loading。這裡是對中小型的環境做參考。
設定步驟:
[root@linux ~]# ping -c 1 192.168.1.10
[root@linux ~]# arp -n
Address HWtype HWaddress Flags Mask Iface
192.168.1.10 ether 00:12:34:56:78:9A C eth0
知道MAC Address後(這裡假設00:12:34:56:78:9A)
建立/etc/ethers文件(如果不存在的話)
vi /etc/ethers
編輯文件格式,ethers文件內容格式如下
192.168.1.10 00:12:34:56:78:9A
在到 /etc/rc.d/rc/local 文件中最後加一行
arp -f
以便在每次開機之後自動啟用靜態ARP。
透過arp -a 命令查看當前arp表會發現,
所有的靜態ARP記錄中都有「PERM」字樣,
而用cat /proc/net/arp指令會發現,所有靜態ARP記錄的Flags為0×6。
如果某塊網卡所在的網段有ARP攻擊,可以在啟用靜態ARP之後使用
echo 0 > /proc/sys/net/ipv4/conf/ethx/arp_accept
echo 1 > /proc/sys/net/ipv4/conf/ethx/arp_filter
echo 2 > /proc/sys/net/ipv4/conf/ethx/arp_ignore
在一定程度上啟用arp 過濾。
