[資訊安全]讓Linux系統預防簡單的ARP攻擊

如果環境中有電腦中了 161816.com 的 ARP 病毒，要該如何解決呢?之前有po Windows Server的預防跟解決方法，請參考這篇[資訊安全]如何解決麻煩的161816.com ARP Spoofing，但如果是Linux系統該如何預防呢?

Linux下防範arp攻擊有一些基本的防範方法，可以防止一些簡單的攻擊，那就是設定靜態arp。設定靜態arp是最理想的防制方法，網路內電腦的ARP table一律改用靜態的方式來防範arp spoofing，不過這在大型的網路中應該是不可行的，因為需要經常更新每電腦的ARP表，可能會造成網管人員很大的Loading。這裡是對中小型的環境做參考。

設定步驟:

[root@linux ~]# ping -c 1 192.168.1.10

[root@linux ~]# arp -n

Address      HWtype HWaddress        Flags Mask  Iface

192.168.1.10 ether  00:12:34:56:78:9A  C          eth0

知道MAC Address後(這裡假設00:12:34:56:78:9A)

建立/etc/ethers文件(如果不存在的話)

vi /etc/ethers

編輯文件格式，ethers文件內容格式如下

192.168.1.10 00:12:34:56:78:9A

在到 /etc/rc.d/rc/local 文件中最後加一行

arp -f

以便在每次開機之後自動啟用靜態ARP。

透過arp -a 命令查看當前arp表會發現，

所有的靜態ARP記錄中都有「PERM」字樣，

而用cat /proc/net/arp指令會發現，所有靜態ARP記錄的Flags為0×6。

如果某塊網卡所在的網段有ARP攻擊，可以在啟用靜態ARP之後使用

echo 0 > /proc/sys/net/ipv4/conf/ethx/arp_accept

echo 1 > /proc/sys/net/ipv4/conf/ethx/arp_filter

echo 2 > /proc/sys/net/ipv4/conf/ethx/arp_ignore

在一定程度上啟用arp 過濾。