锐客网

  1. 首页 > 睿知 > it技术 > >

arp欺骗命令Linux arp欺骗攻击在哪一层

地址IT技术

在linux下怎么实现ARP欺骗arpspoofarp欺骗命令Linux,有这个就可以了
你可以下载它arp欺骗命令Linux的源码包看arp欺骗命令Linux,开源的 , 用的是libnet,libpcap库,属于dsniff包中的一个组成部分
什么是ARP?地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议 。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源 。
地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗 。
扩展资料:
RARP和ARP不同,地址解析协议是根据IP地址获取物理地址的协议,而反向地址转换协议(RARP)是局域网的物理机器从网关服务器的ARP表或者缓存上根据MAC地址请求IP地址的协议,其功能与地址解析协议相反 。与ARP相比 , RARP的工作流程也相反 。首先是查询主机向网路送出一个RARP Request广播封包,向别的主机查询自己的IP地址 。这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者,这样查询主机就获得自己的IP地址了 。
参考资料来源:百度百科-TCP/IP协议
参考资料来源:百度百科-地址解析协议
linux运维之LVS(一)关于LVS负载均衡
一、什么是负载均衡:
负载均衡集群提供了一种廉价、有效、透明的方法,来扩展网络设备和
服务器的负载、带宽、增加吞吐量、加强网络数据处理能力,提高网络的灵活性
和可用性 。
二、搭建负载均衡服务的需求:
1)把单台计算机无法承受的大规模的并发访问或者数据流量分担到多台节点设备上
分别处理,减少用户等待响应的时间 , 提升用户体验 。
2)单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备结束后,
将结果汇总,返回给用户,系统处理能力得到大幅度提升 。
3)7*24的服务保证,任意一个或多个有限节点设备宕机 , 要求不能影响业务 。
【arp欺骗命令Linux arp欺骗攻击在哪一层】 三、LVS的介绍:
LVS是Linux Virtual Server的简写 , 即Linux虚拟服务器,是一个虚拟的服务器
集群系统,可以在UNIX/LINUX平台下实现负载均衡集群功能 。
该项目是在1998年5月由章文嵩博士组织成立的,是中国国内最早出现的自由
软件项目之一 。
四、关于LVS的配置使用:
LVS负载均衡调度技术是在Linux内核中实现的,因此 , 被称为Linux
虚拟服务器 。我们使用该软件配置LVS时候,不能直接配置内核中的ipvs,
而需要使用ipvs的管理工具ipvsadm进行管理,ipvs的管理工具ipvsadm管理ipvs 。
五、LVS技术点小结:
1)真正实现负载均衡的工具是ipvs,工作在linux内核层面 。
2)LVS自带的ipvs管理工具是ipvsadm 。
3)keepalived实现管理ipvs及对负载均衡器的高可用 。
4)Red hat工具Piranha WEB管理实现调度的工具ipvs 。
六、LVS体系结构与工作原理:
1)LVS集群负载均衡接收服务的所有入站客户端计算机请求,并根据调度算法决定哪个集群节点应该处理回复请求 。
负载均衡(LB)有时也被称为LVS Director(简称 Director).
2)LVS虚拟服务器的体系结构如下图 , 一组服务器通过高速的局域网或者地理分布
的广域网相互连接,在他们的前端有一个负载调度器(Load Balancer) 。负载调度器能
无缝地将网络请求调度到真正的服务器上 , 从而使得服务器集群的结构对客户是透明的,
客户访问集群系统提供的网络服务就像访问一台高性能、高可用的服务器一样 。客户程序
不受服务器集群的影响不需做任何修改 。系统的伸缩性通过在服务集群中透明地加入和删除
一个节点来达到,通过检测节点或服务进程故障和正确的重置系统达到高可用性 。由于我们的负载调度技术在
linux内核中实现的,我们称之为linux虚拟服务器(Linux Virtual Server) 。
七、LVS社区提供了一个命名的约定:
名称:缩写
虚拟IP地址(Virtual IP Address)VIP
说明:VIP为Director用于向客户端计算机提供服务的ip地址,
比如: 域名就解析到vip上提供服务 。
-------------------------------------------------------------------------------
真实ip地址(Real Server ip Address)缩写:VIP
说明:在集群下面节点上使用的ip地址,物理ip地址 。
-----------------------------------------------------------------------------------
Director的ip地址(Director ip Adress)缩写:DIP
说明:Director用于连接内外网络的ip地址,物理网卡上的IP地址,
是负载均衡上的ip 。
-------------------------------------------------------------------------------------
客户端主机IP地址(Client IP Address)缩写:CIP
说明:客户端用户计算机请求集群服务器的IP地址,该地址用作发送
给集群的请求的源ip地址 。
----------------------------------------------------------------
LVS集群内部的节点称为真实服务器(Real server),也叫做集群节点 。请求集群服务的
计算机称为客户端计算机 。
与计算机通常在网上交换数据包的方式相同,客户端计算机、Director
和真实服务器使用IP地址彼此进行通信 。
------------------------------------------------------------------------------------------
八、LVS集群的3种工作模式介绍与原理讲解
1)IP虚拟服务软件ipvs,在调度器的实现技术中,IP负载均衡技术是
效率最高的 。在已用的ip负载均衡技术中有通过网络地址转换
(Network Address Translation)将一组服务器构成一个高性能的、高可用的虚拟服务器,
我们称之为VS、NAT技术(Virtual Server Network Adress Translation) 。
2)在分析VS/NAT的缺点和网络服务的非对称性的基础上,我们提出通过IP隧道实现虚拟服务器的
方法VS/TUN(Virtual Server via IP Tunneling)和通过直接路由实现虚拟服务
器的方法VS/DR(Virtual Server via Director Routing),它们可以极大地提高系统的伸缩性 。
3)淘宝开源的模式FULLNAT 。
LVS的四种工作模式:
缩写及全拼:
NAT(Network Adress Translation)、TUN(Tunneling)、
DR(Director Routing)、FULLNAT(FULL Network address Translation)
-------------------------------------------------------------------------------------------
九、什么是ARP协议:
1) ARP协议:全称"Address Resolution Protocol",中文名地址解析协议,使用ARP协议可
实现通过IP地址获得得对应主机的物理地址(MAC地址) 。
在TCP/IP的网络环境下,每个联网的主机都会被分配一个32位的ip地址,
这种互联网地址是在网际范围标识主机的一种逻辑地址 。为了让报文在
物理网路上传输,还必须要知道对方目的主机的物理地址(MAC)才行 。这样就存在把IP地址变成
物理地址的地址转换的问题 。
在以太网环境,为了正确地目的主机传送报文,必须把目的主机的32位IP
地址转换成为目的主机48位以太网的地址(MAC地址) 。这就需要在互联层有一个服务或功能将
IP地址转换为相应的物理地址(MAC地址),这个服务或者功能就是ARP协议 。
所谓的“地址解析”,就是主机在发送帧之前将目标IP地址转换成目标MAC地址的过程 ,
ARP协议的基本功能就是通过目标设备的ip地址 , 查询目标设备的MAC地址,以保证主机
间互相通信的顺利进行 。
ARP协议和DNS有点相像之处,不同点是:DNS是在域名和IP之间的解析 , 另外,ARP协议不需要
配置服务,而DNS要配置服务才行 。
ARP协议要求通信的主机双方必须在同一个物理网段(即局域网)!
2)关于ARP的小结:
1.ARP全称“Address Resolution Protocol”;
2.实现局域网内通过IP地址获取主机的MAC地址;
3.MAC地址48位主机的物理地址,局域网内唯一;
4.ARP协议类似DNS服务 , 但不需要配置服务 。
5.ARP协议是三层协议 。
--------------------------------------------------------------------------------------------------------
十、ARP缓存表:
1)每台安装有TCP/IP协议的电脑都会有一个ARP缓存表(windows 命令提示符里输入arp -a即可) 。
表里的ip地址与MAC地址是一一对应的 。
arp常用命令:
arp -a :查所有记录
arp -d :清除
arp -s :绑定IP和MAC
2)ARP缓存表是把双刃剑:
1.主机有了arp缓存表,可以加快ARP的解析速度,减少局域网内广播风暴 。
2.正是有了arp缓存表,给恶意黑客带来了攻击服务器主机的风险,这个就是arp欺骗攻击 。
3.切换路由器,负载均衡器等设备时,可能会导致短时网络中断 。
3)为啥用ARP协议?
OSI模型把网络工作分为七层,彼此不直接通信打交道,只通过接口 。IP地址工作在第三层,
MAC地址工作在第二层 。当协议在发送数据包时,需要先封装第三层IP地址,第二层MAC地址的报头,
但是协议只知道目的节点的ip地址,不知道目的节点的MAC地址 , 又不能跨第二、三层,所以得用ARP协议服务,
来帮助获取目的节点的MAC地址 。
4)ARP在生产环境产生的问题及解决办法:
1.ARP病毒 , ARP欺骗
2.高可用服务器对之间切换时要考虑ARP缓存的问题 。
3.路由器等设备无缝迁移时需要考虑ARP缓存的问题,例如:更换办公室的路由器 。
5)ARP欺骗原理:
ARP攻击就是通过伪造IP地址和MAC地址对实现ARP欺骗的,如果一台主机中了ARP病毒,
那么它就能在网络中产生大量的ARP通信量,很快的进行广播以至于使网络阻塞,攻击者
只要持续不断的发出伪造的ARP响应就能更改局域网中目标主机ARP缓存中的IP-MAC条目,
造成网络中断或者中间人攻击 。
linux防火墙如何防御ARP攻击?windows下放arp攻击可以用金山ARP防火墙,把网关ip和MAC填上,然后选项里把安全模式的钩勾上就基本没什么问题 。Linux没找到这么现成的东西 , baidu google上找了一些方法,都自己试过一遍,不是非常管用 。
进行arp攻击要做两件事情:
1、欺骗目标机器,攻击机器A告诉目标机器B:我是网关!
2、欺骗网关,攻击机器A告诉网关:我是B!
也就是A进行双向欺骗 。
这样做以后目标机器B发给网关的数据包都让攻击机器A给没收了,没有发给网关,所以B就上不了网了 。要让B能上网 , A需要将从B收到的包转发给网关 。(有时候开P2P终结这之类的软件的时候发现别人上不了网了,有时候是因为自己有一个NB的防火墙,有时侯是其他原因,从被控制的机器上发过来的包没有能转发给网关,所以 。。。)
我在网上找了一些关于Linux怎么防arp攻击的文章,基本上有这么几种做法 。
1、绑定IP-MAC 。通过arp -s 或者 arp -f 。我就咬定哪个是网关了,你们谁说的话我都不信!
但是有个缺点,必须双向绑定IP-MAC,如果你无法控制路由器,不能在网关那里设置静态IP,这个方法就无效了 。
2、既然控制不了网关,我只能告诉网关哪个才是真正的我了 。向网关发送自己的IP和MAC 。也就是告诉网关:我才是XXX 。
(1)用arping,或者arpspoof(arpsniffer) 。
命令:arping -U -I 网卡接口 -s 源IP 目标IP
由于命令里面没有指定网关的MAC,所以形同虚设 , 效果不好 。
(2)用arpoison或者ARPSender,可以指定MAC,效果算是比较好,但有时候还是不行 。
命令:arpoison -i 网卡接口 -d 网关IP -s 我的IP -t网关MAC-r 我的MAC
参考了这篇文章:
我用Wireshark看了一下 , 发现虽然我指定了目标的MAC,但是我的机器依然会间歇性地往攻击机器发送我的IP和MAC , 然后攻击机器利用我的MAC进行双向欺骗 。
所以我想,有没有什么办法不让除了网关之外的其他人知道我的MAC呢?后来就找到了一下这篇文章 。
文章地址:
文章内容:(因为原文地址访问非常慢所以在这里贴出来)
Linux/FreeBSD防止ARP欺骗的一种 被动方法(隐藏MAC)
作者: Knight日期: 2008-11-17 14:15
文章作者:Helvin
信息来源:邪恶八进制信息安全团队()
首先对国内某些IDC不负责任的行为表示抗议
一般欺骗机器通过ARP Request获得网关的MAC,然后同样方法获得你服务器的MAC进行双向欺骗,然后sniffer密码,挂马之类 。
国内几乎所有的IDC都是几百服务器公用一个网关的 。然后上百个服务器总有几个有漏洞的,然后你就被ARP欺骗挂马或者抓密码了
下面介绍的是Linux 利用arptables来防止ARP Request获得你的MAC 。这样攻击者会认为你的服务器是不存在的(本来很复杂的,需要patch编译内核什么的,上周才发现还有一个 arptables,免编译内核,现在把方法写一下)
Debian/Ubuntu:(runas sudo)CentOS/RHAS 叫arptables_jf
引用:
apt-get install arptables
arptables -A INPUT --src-mac ! 网关MAC -j DROP
arptables -A INPUT -s ! 网关IP -j DROP
如果你有本网的内网机器要互联,可以 引用:
arptables -I INPUT --src-mac 你的其他服务器MAC ACCEPT
如果你的MAC已经被欺骗机器拿到,那只能ifconfig ethx hw ether MAC来修改了
有一定的危险性,请酌情测试,你也可以疯狂刷新网关 本机ARP绑定,看具体需要
还要注意这个时候不要发出ARP Request到除网关以外的其他IP,其后果可能是被其他机器拿到MAC
补充一个FreeBSD下的隐藏MAC的方法
首先sysctl net.link.ether.ipfw=1开启IPFW ether层过滤功能(网桥模式要使用sysctl net.link.ether.bridge_ipfw=1)
然后
ipfw add 00005 allow ip from any to any MAC 网关MAC any /* 打开你到网关的通信 */
ipfw add 00006 allow ip from any to any MAC any 网关MAC /* 打开网关到你的通信 */
/* ........中间你可以添加本网段内需要互联的IP地址MAC双向通信........ */
ipfw add 00010 deny ip from any to any MAC any any /* 关闭所有其他MAC的任何响应 */
如果服务器作为内网网关使用 , 可以在内网网卡界面
ifconfig em1 -arp /* 关闭ARP响应(假设em0是内网网卡) */
arp -f /etc/arp.list /* 设置静态ARP表 */
以下是ARP(8) 关于arp.list格式的描述,
Cause the file filename to be read and multiple entries to be set
in the ARP tables. Entries in the file should be of the form
hostname ether_addr [temp] [pub]
with argument meanings as given above. Leading whitespace and
empty lines are ignored. A `#' character will mark the rest of
the line as a comment.
我觉得可以把 绑定IP-MACarposionMAC隐藏的方法综合起来
转自
关于arp欺骗命令Linux和arp欺骗攻击在哪一层的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站 。

    推荐阅读


    上一篇:mysql数据表最大的行数是多少 mysql单表最大记录数限制

    下一篇:如何建立易助ERP的服务器? 怎么搭建易助erp服务器