FreeBSD下防止Arp欺骗

0bd2m%A'F5I)[0FreeBSD下防止Arp欺骗

今天在blog.citygrit.cn 看见两个防止Arp欺骗的方法，写的不错所以收藏下！热血互动门户&hQ3o+kb0N

PB[` TD?5D'YX01.   使用软件，名称是ipguard，位置在/usr/ports/security/ipguard。

4S T/l;}m1D(_0简短描述是：
7H$N
R'Vu|8i-A0“Tool designed to protect LAN IP adress space by ARP spoofing”，

@,q9t;{Ij0oBx0详细描述是：
(c \Z t&J~:K0“ipguard listens network for ARP packets. All permitted MAC/IP pairs热血互动门户~6f n%km o&]
listed in ‘ethers’ file. If it recieves one with MAC/IP pair, which is热血互动门户 Zj&{+D7XQ
not listed in ‘ethers’ file, it will send ARP reply with configured热血互动门户S}Vj2c$];]#t
fake address. This will prevent not permitted host to work properly
V)h+q;}Bi4{0in this ethernet segment. Especially Windows(TM) hosts.”

功能就是使用一个经过配置的文件’ethers’来保护网内计算机以抵御arp欺骗、攻击。

安装后的输出内容：
)H5zN`*QR0===> INSTALL NOTES:热血互动门户
L2^`y VR&FVu&@
Now create /etc/ethers file (see ethers(5)) and then start ipguard:热血互动门户1|/E ?ba n8\
(cd /usr/local/etc/rc.d mv ipguard.sh.sample ipguard.sh热血互动门户
U(?|Q.hE
/usr/local/etc/rc.d/ipguard.sh start)

1J3x ~c(gE0安装后未执行make clean命令时：热血互动门户5L7{(y MA;Y
cat /usr/ports/security/ipguard/work/ipguard-0.04/doc/ethers.sample
QD2nc tI$B \&P-h8F0文件实例，参考。

补充：热血互动门户?9|,e(QJ!{!R:k y.A
ipguard.sh启动脚本里默认有iface=fxp0，这里应该替换为你做NAT的内网网卡名称。热血互动门户fSL*h K

nh9F&O#HT0

}3@S!H2{Y)lb02.   第一个方法是使用第三方软件实现，方法上相对严谨。但需要定制配置文件，一来显得有些麻烦，二来当机器增加、减少或mac地址出现变化等等情况出现的时候还是显得有些不便，所以，这次来个基于系统本身环境和命令的更简便易行之法，通过自身ip与mac的绑定并对外（内网）宣告的形势来遏制arp欺骗的情况。

}3}9s&V5YM.G"s0首先使用ifconfig来获得当前网络接口的mac地址，然后将本机内网网卡ip地址+本机内网网卡mac地址写到一个文件里热血互动门户f6H V/t_
?+b

(]3B1_ }v)j-IN j0例如：echo 192.168.0.1 00:13:8f:15:65:88 > ipmac热血互动门户)hA3Sf5P {.ft
OZ

接着使用crontab -e编辑系统定时排程（计划任务）让它按照设定时间循环执行

#j!g)b'I2Zf0例如：*/5 * * * *   /usr/sbin/arp -f /etc/ipmac热血互动门户(\#rv$J N+{2Lr&dw

3le5h[vB#B0这行的意思是每5分钟执行一次/usr/sbin/arp -f /etc/ipmac，也就是每5分钟向内网宣告本机mac地址，这样就起到了自身绑定并定时宣告（广播）mac地址的作用，从而有效的抵御来自内网的arp欺骗。热血互动门户Wh)?j/i5~-\

!wK)V.zU\x0当然，上面只是提供一个参考，实际的情况要自己来定制。比如ipmac文件的位置和文件名称及定时执行的时间间隔，这些都可以按照个人习惯和arp欺骗、攻击的强度来定义。热血互动门户bj[#I7_Zh.Z