linux arptables 用于管理arp包过滤的软件

linux arptables 用于管理arp包过滤的软件

基本思路和iptables一样，不过，arptables处理arp协议有关的包，这些包在iptables中并不会处理.arptables可用于灵活的arp管理，如果善于运用的话，不失为一个优秀的arp防火墙.既能防止别的机器对自己进行arp欺骗，又能放只本机病毒或错误程序向其他机器发起arp攻击.

arptalbes用于建立、获取、修改内核的arp包处理表.有几个不同的表，每个表分别含有几条内建的处理链,同时允许用户自定义处理链

每条链是一些规则的列表，每条规则匹配特定的包.每条规则指定一个对匹配的包的操作.这个操作也叫做‘目标’，这个目标也可是跳转到同一个表中的另外的链内建目标：ACCEPT, DROP, QUEUE, RETURN.是几个最基本的目标，ACCEPT指接受这个包，DORP指丢掉这个包，QUEUE指把包传到用户空间（如果内核指定了的话），RETURN指返回到上一条链，接着执行上一条链跳转过来哪条规则的下一个规则.每条链都有一个默认目标，当包经过所有规则都没被匹配，则发给默认目标

表：一边至少有一个内建的表（filter表）-t常常用于指定要操作的表.filter表有两个内建的链，IN和OUT，IN用于处理目标为发给本机目标为本机的包，OUT处理本机发出去的包.

参数分两类：

一、命令类

-A, --append chain rule-specification追加规则

-D, --delete chain rule-specification删除指定规则

-D, --delete chain rulenum删除指定位置的规则

-I, --insert chain [rulenum] rule-specification插入规杂

-R, --replace chain rulenum rule-specification替换规则

-L, --list [chain]列出规则

-F, --flush [chain]删除所有规则

-Z, --zero [chain]清空所有计数

-N, --new-chain chain新建链

-X, --delete-chain [chain]删除链

-P, --policy chain target指定默认目标

-E, --rename-chain old-chain new-chain重命名链

-h,帮助

二、参数类

-s, --source [!] address[/mask]源地址

-d, --destination [!] address[/mask]目的地址

-z, --source-hw [!] hwaddr[mask]源mac

-y, --target-hw [!] hwaddr[mask]目的mac

-i, --in-interface [!] name受到这个包的网卡

-o, --out-interface [!] name要发送这个包的网卡

-a, --arhln [!] value[mask]

-p, --arpop [!] value[mask]

-H, --arhrd [!] value[mask]

-w, --arpro [!] value[value]

-j, --jump target跳到目标

-c, --set-counters PKTS BYTES计数

实例1：=--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==--====

1. 安装arptables

arptables的图形下载页面是：https://www.wendangku.net/doc/af11342678.html,/projects/ebtables/files/

2.下载并安装：

# wget -c

https://www.wendangku.net/doc/af11342678.html,/projects/ebtables/files/arptables/arptables-v0.0.3/arptables-v0.0.3-4.tar.gz

# tar zxvf arptables-v0.0.3-4.tar.gz

# cd arptables-v0.0.3-4

# make

# make install

生成的命令是/usr/local/sbin/arptables、/usr/local/sbin/arptables-save、/usr /local /sbin/arptables-restore，系统启动脚本/etc/rc.d/init.d/arptables，这个脚本读的配置文件必须放在/etc/sysconfig/arptables里。

3.打开arptables服务：

#chkconfig arptables on

4.配置SERVER的arptables：

SERVER网关MAC是XX:XX:XX:XX:XX:01，同网段另一台服务器192.168.0.3（主机名是host1）的MAC地址是XX:XX:XX:XX:XX:02。

命令行配置arp防火墙：

在eth0上如果源IP是192.168.0.3，并且源MAC不是XX:XX:XX:XX:XX:0，就禁止这个数据桢。

#/usr/local/sbin/arptables -A INPUT -i eth0 --src-ip 192.168.0.3 --src-mac ! XX:XX:XX:XX:XX:02 -j DROP

在eth0上如果源MAC不是00:24:51:E9:C7:10（网关的MAC地址），就禁止这个数据桢，这一条针对外网过来的访问。

#/usr/local/sbin/arptables -A INPUT -i eth0 --src-mac ! XX:XX:XX:XX:XX:01 -j DROP

注意：添加arp防火墙策略的次序不能错，针对网关MAC地址的语句必须放在最后，否则本网段IP的访问策略不能生效。

把以上策略写入配置文件：

#/usr/local/sbin/arptables-save > /etc/sysconfig/arptables

/etc /sysconfig/arptables文件的内容：

*filter

:INPUT ACCEPT

:OUTPUT ACCEPT

:FORWARD ACCEPT

-A INPUT -j DROP -i eth0 -o any -s host1 ! --src-mac XX:XX:XX:XX:XX:02

-A INPUT -j DROP -i eth0 -o any ! --src-mac XX:XX:XX:XX:XX:01

用命令/etc/init.d/arptables restart重启arptables的时候提示出错：

Stopping Arp filtering (arptables): [ OK ]

Starting Arp filtering (arptables): arptables v0.0.3-4: Can't use -o with INPUT

Try `arptables -h' or 'arptables --help' for more information.

ERROR(line 5):

[FAILED]

修改/etc/sysconfig/arptables文件以后的内容：

*filter

:INPUT ACCEPT

:OUTPUT ACCEPT

:FORWARD ACCEPT

-A INPUT -j DROP -i eth0 -s host1 ! --src-mac XX:XX:XX:XX:XX:02

-A INPUT -j DROP -i eth0 ! --src-mac XX:XX:XX:XX:XX:01

再重启arp防火墙就没有错误。查看arp防火墙状态/etc/init.d/arptables status：

*filter

:INPUT ACCEPT

:OUTPUT ACCEPT

:FORWARD ACCEPT

-A INPUT -j DROP -i eth0 -o any -s host1 ! --src-mac XX:XX:XX:XX:XX:02

-A INPUT -j DROP -i eth0 -o any ! --src-mac XX:XX:XX:XX:XX:01

5.配置PC的arptables：

#arptables -A INPUT --src-mac ! 网关物理地址-j DROP

#arptables -A INPUT -s ! 网关IP -j DROP

#arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT

SHELL如下：

#! /bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

arptables -A INPUT --src-mac ! 网关物理地址-j DROP

arptables -A INPUT -s ! 网关IP -j DROP

arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT

注意：这样局域网内的资源不能使用，如需使用清空规则

#arptables -F

实例2：=--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==== 将源为X目的不是XX的转发包伪装为源地址是XXX

#iptables -t nat -A POSTROUTING -s X ! -d XXX -j SNAT --to XX

将源不是XXX，目的是X的包丢掉

#arptables -A IN ! -s XXX -d X -j DROP

将源是X,目的不是XXX的请求包发给XX

#arptables -A OUT -s X ! -d XXX -j mangle --mangle-ip-s XX

防arp简单方法-静态绑定网关(整理)

静态绑定网关MAC 简单方法：手工绑定： (1).确定用户计算机所在网段 (2).查出用户网段网关IP (3).根据网关IP查出用户网段网关Mac，本地查询: (4).用命令arp -s 网关IP 网关MAC静态绑定网关IP和MAC 举例: (1).确定用户计算机所在网段 开始->程序->附件->命令提示符,打开命令提示符窗口,输入ipconfig命令，查出用户正常分配到的IP地址： 本机IP: 10.13.2.62 网关IP: 10.13.2.254 (2).IP为10.13.3.254 的网关的MAC地址为00-0b-46-01-01-00 (4).在命令提示符窗口中输入以下命令 arp –d //清空ARP缓存 arp -s 10.13.2.254 00-0b-46-01-01-00 //静态绑定网关MAC地址arp –a //查看ARP缓存记录

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 由于手工绑定在计算机关机重启后就会失效，需要再次重新绑定 可以采用批处理的方式，完成上述步骤，同时使之开机运行即可 使用arp命令静态绑定网关MAC，格式如下： arp －s 网关IP 网关MAC 如果觉得每次手动输入比较复杂，您可以编写一个简单的批处理文件然后让它每次开机时自动运行， 批处理文件如下： ----------------------------------- @echo off echo 'arp set' arp -d arp －s 网关IP 网关MAC exit ------------------------------------

实验六 Linux软件包管理与基本网络配置

实验六Linux软件包管理与基本网络配置 一. 一.实验目的： 1．1．学会find命令的使用方法； 2．2．学习利用rpm和tar命令实现软件包的管理； 3．3．掌握如何在Linux下的TCP/IP网络的设置； 4．4．学会使用命令检测网络配置； 5．5．学会启用和禁用系统服务。 二. 二.实验内容： 1．1．利用find命令查找满足条件的文件； 2．2．利用rpm和tar命令管理软件包； 3．3．使用ifconfig命令配置网络接口； 4．4．使用route命令加默认网关； 5．5．使用hostname命令设置主机名； 6．6．修改/etc/hosts实现Linux的静态地址解析； 7．7．修改/etc/resolv.conf配置Linux的DNS客户端； 8．8．使用ping、netstat命令检测配置； 9．9．设置系统启动时自动配置网络参数； 10．10．用service命令和ntsysv命令控制守护进程。 三. 三.实验练习： 任务一 rpm软件包的管理 本部分实验内容按照课本P171-P178页的各个小的实验内容进行练习。 任务二 find命令的使用 1．1．在/var/lib目录下查找所有文件其所有者是games用户的文件。 $ find /var/lib –user games 2> /dev/null 2．2．在/var目录下查找所有文件其所有者是root用户的文件。 $ find /var –user root –group mail 2>/dev/mull 3．3．查找所有文件其所有者不是root，bin和student用户并用长格式显示（如ls –l 的显示结果）。$ find / -not –user root –not –user bin –not –user student –ls 2> /dev/null or $find / ! –user root ! –user bin ! –user student –exec ls –ld {} \; 2> /dev/null 4．4．查找/usr/bin目录下所有大小超过一百万byte的文件并用长格式显示（如ls –l 的显示结果）。$ find /usr/bin –size +1000000c –ls 2> /dev/null 5．5．对/etc/mail目录下的所有文件使用file命令。 $find /etc/maill –exec file {} \; 2 > /dev/null

ARP静态绑定批处理文件脚本详细讲解

ARP静态绑定批处理文件脚本详细讲解 网上流传了很多对付ARP欺骗的批处理脚本，本文是对比较流行的一个脚本加以注释和讲解，希望对广大51CTO网友和网管员有用。 网上流传了很多对付ARP欺骗的批处理脚本，本文是对比较流行的一个脚本加以注释和讲解，希望对广大51CTO网友和网管员有用。原批处理文件如下： @echo off if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist phyaddr.txt del phyaddr.txt find "Physical Address" ipconfig.txt >phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M if exist IPAddr.txt del IPaddr.txt find "IP Address" ipconfig.txt >IPAddr.txt for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I arp -s %IP% %Mac% del ipaddr.txt del ipconfig.txt del phyaddr.txt exit 现在以//开头的为我的解释 @echo off //关闭命令回显

if exist ipconfig.txt del ipconfig.txt //如果存在ipconfig.txt 这个文件就对其进行删除 ipconfig /all >ipconfig.txt //把ipconfig /all 命令的显示结果写入ipconfig.txt if exist phyaddr.txt del phyaddr.txt //如果存在phyaddr.txt 这个文件就对其进行删除 find "Physical Address" ipconfig.txt >phyaddr.txt //在ipconfig.txt 文件里查找Physical Address 字段的内容并将其字段内容写入phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M //在phyaddr.txt 文件中从第一行象下跳两行，也就是从第三行开始，从第12个符号处取值，并把该值设置成MAC 变量，举个例子：Physical Address. . . . . . . . . : 00-E0-FC-0C-A8-4F，每一个连续的数值为一个符号 符号1：Physical 符号2：Address. 符号3：. 符号4：. 符号5：. 符号6：. 符号7：. 符号8：. 符号9：.

解决ARP攻击造成的局域网断网问题

无线局域网内的ARP攻击引起的上网掉线的原因和解决方法 在家庭和公司的宽带局域网中，经常会遇到的就是ARP病毒攻击，最常见的症状是电脑老是掉线，网页经常打不开，QQ无法登陆之类的现象。就是能浏览网页也会很卡，这不是无线路由器出故障了，也不是网速问题，大多都是遇到ARP攻击了，这对上网的体验影响很大，对业务以来网络的公司来说更是意味着金钱的损失。下面就来给大家解释一下原因和相应的解决办法，顺带也说说ARP攻击的演化。 首先，我们先来了解一下什么是ARP攻击。 ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。 ARP攻击的演化 初期： 这种有目的的发布错误ARP广播包的行为，被称为ARP欺骗。ARP欺骗，最初为黑客所用，成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。 中期：ARP恶意攻击 后来，有人利用这一原理，制作了一些所谓的“管理软件”，例如网络剪刀手、执法官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意破坏为目的，多是为了让别人断线，逞一时之快。 特别是在网吧中，或者因为商业竞争的目的、或者因为个人无聊泄愤，造成恶意ARP攻击泛滥。 随着网吧经营者摸索出禁用这些特定软件的方法，这股风潮也就渐渐平息下去了。 现在：综合的ARP攻击 最近这一波ARP攻击潮，其目的、方式多样化，冲击力度、影响力也比前两个阶段大很多。 首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主，最有效的攻击方式是DDOS攻击。但是随着防范能力的提高，病毒制造者将目光投向局域网，开始尝试ARP攻击，例如最近流行的威金病毒，ARP攻击是其使用的攻击手段之一。

ARP绑定网关及批处理

ARP绑定网关及批处理 一.WINDOWS下绑定ARP绑定网关 步骤一： 在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MA C地址，并将其记录下来。 注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。 步骤二： 如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。 要想手工绑定，可在MS-DOS窗口下运行以下命令： arp －s 网关IP 网关MAC 例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下： Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。 被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。 手工绑定的命令为： arp －s 192.168.1.1 00-01-02-03-04-05 绑定完，可再用arp －a查看arp缓存： Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。 但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。作批处理文件 在客户端做对网关的arp绑定，具体操作步骤如下： 步骤一： 查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp －a，点回车，查看网关对应的Physical Address。 比如：网关192.168.1.1 对应00－01－02－03－04－05。 步骤二： 编写一个批处理文件rarp.bat，内容如下：

图解ASA防火墙上进行ARP绑定

图解ASA防火墙上进行ARP绑定(图) 目前我公司使用的网络全是静态IP地址，在公司里面有一台ASA5505防火墙，应领导要求，在该防火墙上面要限制某部份用户不能使用某些应用（如QQ农场等），而领导的计算机不做任何限制。为了实现这些功能，我们需要在ASA 5505防火墙上面做ARP绑定，然后再使用访问控帛列表来对这些IP地址与MAC地址进行限制。具体配置很简单，那么下面就带大家一起来看看如何在ASA 5500防火墙上面配置ARP绑定呢？ 很简单的几条命令，我们就实现将下面PC的IP地址与MAC地址进行绑定了。下面我们来测试一下看看。刚才上面的IP地址与MAC地址是我笔记本无线网卡的IP地址与MAC地址（如下图）。 我们ping 192.168.0.199（防火墙内网接口地址）看看能否正常通信。

从上图我们可以看见，通过我们的无线网卡能够正常的去与我们防火墙内部接口正常通信。那么下面我将我无线网卡上面的IP地址换至有线网卡上面再测试，这样我有线网卡的MAC地址就不能与防火墙上面设置的MAC 地址匹配（如下图）。 那么我们现在再来看看能不能正常进行通信呢（如下图） 从这里我们可以很明显的看见，他不能与我们防火墙进行通信，而这样就已经实现了IP地址与MAC地址对应以后才能正常通过防火墙出去。但是这样有一点我们大家很容易忽略的，就是我们只将我们需要用的地址进行IP与MAC绑定，而其他没有用的就没有绑，那么人有使用没有绑定IP地址与MAC地址的IP去访问互联网，是能够正常出去的。下面我们来试试，我现在将我的IP地址改成192.168.0.2，这个IP地址在我当前的网络中是没有使用的，在防火墙上面也没有对该IP地址进行MAC地址绑定。 这时候我们再ping一下防火墙的内网接口地址看看能否正常通信呢？

解决ARP攻击的方法

【故障原因】 局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 【故障原理】 要了解故障原理，我们先来了解一下ARP协议。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 主机IP地址MAC地址 A192.168.16.1aa-aa-aa-aa-aa-aa B192.168.16.2bb-bb-bb-bb-bb-bb C192.168.16.3cc-cc-cc-cc-cc-cc D192.168.16.4dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC 地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP 缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D 能够接收到A发送的数据包了么，嗅探成功。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C 连接不上了。D对接收到A发送给C的数据包可没有转交给C。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发

网卡ARP静态开机绑定

通过NETSH命令解决网卡ARP学习不正常的案例 设备配置： 服务器端双网卡配置，ETH0 IP 192.168.8.253 255.255.255.0；ETH1 IP 10.3.0.8 255.255.255.0。所接设备为三台基站设备（服务器到基站由于传输需要经过两台交换机，一对光电转换），IP地址分别为192.168.8.112、192.168.8.113、192.168.8.114。服务器及基站均为静态固定IP。 故障表现： 网卡正常工作一段时间后，三台基站会相继掉线（三台基站不是同时掉），通过抓包软件，发现服务器能收到基站的广播包，但无法PING通，服务器运行arp -a 发现ETH0 网卡ARP表中丢失基站的映射信息。 通过常规手段在服务器运行ARP –S 192.168.8.X XX-XX-XX-XX-XX-XX后，提示命令无法执行。 故障分析： 重启基站/交换机后，基站与服务器能PING通，但过段时间后，仍会相断掉线，排除是基站设备和交换机的问题导致。故障定位于服务器所接网卡问题，但目前仍无得出是什么问题导致网卡的ARP学习不正常。 故障排除： 在服务器上运行命令netsh I I show in得到192.168.8.253所在的网卡IDX号 如图所示，ETH0所对应的IDX 为11 新建一个批处理文件导入服务器启动项，编辑以下信息并保存后，重启服务器 netsh -c "i i" add neighbors 11 192.168.8.112 基站MAC地址(格式为XX-XX-XX-XX-XX-XX）netsh -c "i i" add neighbors 11 192.168.8.113基站MAC地址(格式为XX-XX-XX-XX-XX-XX）netsh -c "i i" add neighbors 11 192.168.8.114基站MAC地址(格式为XX-XX-XX-XX-XX-XX）

Linux系统软件包集合(中文)

AbiWord: a full-featured word processor 代码：一个全功能的文字处理器 AfterStep：对X中的窗口管理器下一个外观和感觉 Alpine: a text-based MIME email client based on Pine Alpine：松基于文本的MIME邮件客户端 alsa-lib: an audio library for use with the ALSA kernel modules ALSA-lib目录下：用于与ALSA内核模块使用音频库 Apache-Tomcat：一个Java Servlet和JSP容器 APT：前端为dpkg包管理ATI驱动程序：到XFree86/ https://www.wendangku.net/doc/af11342678.html,由ATI的Catalyst系列专有Linux 显示驱动程序 Audacity的：一个免费的音频编辑器 Autoconf的：一个包M4宏制作脚本自动配置源代码 GNU Automake的：用于自动生成Makefile文件的工具 Avidemux的：一个免费的视频编辑器，可用于简单的切割，过滤和编码任务awesome：一个可配置的窗口管理器对于x Banshee: 音乐管理及播放应用程序的GNOME Bash: an sh-compatible command language interpreter Bash:一个sh兼容的命令语言解释 ISC BIND: an implementation of the Domain Name System (DNS) protocols ISC BIND：域名系统（DNS）协议的实现 IGNU Binutils: an essential collection of binary utilities IGNU Binutils:二进制实用的必备收藏 Bison: a replacement for the parser generator Yacc Bison: 替换为解析器生成的Yacc Bitcoin: an innovative payment network and a new kind of money 比特币：一种创新的支付网络和一种新的货币

解决局域网ARP攻击造成的断网问题

解决局域网ARP攻击造成的断网问题 【字号：大中小】 实战：解决局域网ARP攻击造成的断网问题 家里通过连接老妈学校的局域网上网（不用出上网费，^_^ ）~~从06年8月起，局域网中上网经常性掉线，通过科来网络分析系统发现，局域网中出现了arp欺骗攻击。经过我不断查找资料，2月初终于实现完美预防，下面就做个总结，希望对其他人有帮助~~：） 1. ARP概念 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC 地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址，每个网卡一个，据我观察分析，装系统时系统自动给予编号，形如00-03-0F-01-3E-0A），以保证通信的顺利进行。 1. 1 ARP和RARP报头结构 ARP和RARP使用相同的报头结构，如图1所示。 （图1ARP/RARP报头结构） 硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1； 协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）； 硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用； 操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4； 发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节； 发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节； 发送方IP（0-1字节）：源主机硬件地址的前2个字节； 发送方IP（2-3字节）：源主机硬件地址的后2个字节； 目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节；

Linux操作系统应用程序的安装与管理技巧

Linux操作系统应用程序的安装与管理技巧 1、Linux应用程序基础 2、RPM包管理 包管理系统初步： RPM:RPM Package Manager RPM包管理系统： $ rpm RPPM包的文件名称： bash-3.0-19.2.i386.rpm bash:软件名称。 3.0-19.2:软件的版本号。 i386:软件所运行的最低硬件平台。 rpm:文件的扩展名,用来标识当前文件是rpm格式的软件包。 RPM包管理功能： rpm命令配合不同的参数可以实现以下的rpm包的管理功能: 查询已安装在linux系统中的RPM软件包的信息。 查询RPM软件包安装文件的信息。 安装RPM软件包到当前linux系统。 从当前linux系统中卸载已安装的RPM软件包。 从当前linux系统中升级已安装的RPM软件包。 使用rpm命令查询软件包： 1、查询系统中安装的所有RPM包

$ rpm -qa 查询当前linux系统中已经安装的软件包。 例：$ rpm -qa | grep -i x11 | head -3 察看系统中包含x11字符串的前3行软件包。 2、查询软件包是否安装 $ rpm –q rpm包名称察看系统中指定软件包是否安。 例: $ rpm -q bash 察看系统中bash软件包是否安装。 "rpm -q"命令中指定的软件包名称需要准确的拼写，该命令不会在软件包的名称中进行局部匹配的查询。 3、查询已安装软件包详细信息 $ rpm –qi RPM包名称查询linux系统中指定名称软件包的详细信息。 例：$ rpm -qi bash 察看bash软件包的详细信息。 "rpm -qi"命令的执行结果中包含较详细的信息，包括：软件名称，版本信息，包大小，描述，等。 4、查询已安装软件包中的文件列表 $ rpm –ql RPM包名称查询已安装软件包在当前系统中安装了哪些文件。 例：$ rpm -ql bash | head -3 查看bash软件在系统中已安装文件的前3行文件列表。 $ rpm -ql bash | grep bin 用过滤方式察看bash中包含bin字符串的文件列表。 5、查询系统中文件所属的软件包 $ rpm –qf 文件名称查询linux系统中指定文件所属的软件包。 例：$ rpm -qf /bin/bash 察看bash文件所属的软件包。 bash-3.0-19.2 显示结果。 6、查询RPM安装包文件中的信息 $ rpm –qpi RPM包文件名察看RPM包未安装前的详细信息。

科来网络分析系统ARP攻击解决方案

编号TS-08-0005 科来网络分析系统ARP攻击解决方案 版权所有 ? 2007 科来软件保留所有权利。 本文档属商业机密文件，所有内容均为科来软件国内技术支持部独立完成，属科来软件内部机密信息，未经科来软件做出明确书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。 汪已明 科来软件 电话：86-28-85120922 传真：86-28-85120911 网址：https://www.wendangku.net/doc/af11342678.html, 电子邮件：support@https://www.wendangku.net/doc/af11342678.html, 地址：成都市高新区九兴大道6号高发大厦B幢1F 版权所有　？　２００７　科来软件．　保留所有权利 第１页　共６页

方案背景 目前，由于政府、企业、高校以及电子商务的蓬勃发展，使得网络已经融入到社会的各个领域；与此同时，网络用户的多样化，直接导致了蠕虫病毒和网络攻击的持续增多。在这种情况下，快速排查网络攻击，保障网络的持续可靠运行，已日益成为与国家、政府、企事业和个人的利益休戚相关的“大事情”。 自2006年以来，ARP攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐，从而导致近1年多的时间里，网络中的ARP攻击无处不在，各大论坛从未停止过ARP攻击的讨论，一些遭受过ARP攻击的用户甚至到了谈“ARP”色变的程度。 能否快速有效地排查ARP攻击，将直接导致网络的运行是否正常，其意义十分重大。接下来我们就详细地来看如何排查并预防ARP攻击。 ARP协议工作原理 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作OSI参考模型的第2层（数据链路层），用于查找IP地址所对应物理网卡的MAC地址。 正常情况下，ARP协议的工作原理如下： 1.所有主机都在自己的缓冲区中建立一个IP地址和MAC地址的对应关系表，我们 称这个表为ARP表。 2.源主机需要发送一个数据包到目的主机时，首先检查自己的ARP表中是否存在该 目的IP地址对应的MAC地址，如果有，就将数据包发送到这个MAC地址所对应 的网卡；如果没有，就向本地网段中除自己以外的所有主机发起一个ARP请求广 播，以查询目的主机所对的MAC地址。 3.网络中的所有主机收到这个ARP请求后，都会检查数据包中的目的IP是否和自己 的IP地址一致。如果不相同，就丢弃该数据包；如果相同，该主机首先将源主机 的IP地址和MAC地址添加到自己的ARP表（ARP表中如果已经存在该IP的信 息，则将其覆盖），然后给源主机发送一个 ARP响应数据包，告诉对方自己是它 需要查找的MAC地址； 4.源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添 加到自己的ARP表，并同时将数据包发往目的主机所对应的网卡。 从上述的过程可知，正常情况下的ARP工作流程是一个请求，一个应答。 ARP攻击原理 根据攻击的严重程度，ARP攻击可以分为三种：ARP扫描、ARP中间人攻击和ARP 断网攻击。 版权所有　？　２００７　科来软件．　保留所有权利 第２页　共６页

linux软件包的管理-自己总结-附实例

目录 Linux软件包管理 (2) 二进制软件包管理(RPM,YUM) (2) 软代码包安装 (3) 脚本安装 (3) ATP报管理（ubantu） (3)

Linux软件包管理 二进制软件包管理(RPM,YUM) RPM(RedHat package management): 安装：rpm ivh sudo-1.7.2pl-5.el5.i386.rpm 软件名称-版本号-发行号.硬件平台 卸载：rpm –e sudo (rpm --nodeps sudo) 软件包有依赖性关系，卸载时会产生提示信息，可使用后面的语句进行强行卸载 挂载光盘：mkdir /mnt/cdrom Mount /dev/cdrom /mnt/cdrom 查看软件是否安装：rpm –q sudo rpm –qa | grep samba rpm –qf sudo (查询所述的软件包) rpm –qi sudo rpm –qip sudo (查询已安装或未按装软件包的描述信息) rpm –ql sudo rpm –qlp sudo (查询软件包安装的文件) rpm –qd sudo rpm –qdp sudo (查询软件包帮助文档) rpm –qc sudo rpm –qcp sudo (查询软件包配置文件) 校验：rpm –V sudo 提示：5 md5校验值内容变化（md5sum /etc/services） S 文件大小变化 T 文件的时间 M 权限变化 U 文件的所有者变化 G 文件的用户组变化 L 连接文件变化 D 设备文件变化 软件包文件提取： 压缩所有文件到当前目录 rpm2cpio /mnt/cdrom/CentOS/initscripts-8.45.30-2.el5.centos.i386.rpm | cpio –idv 压缩指定文件到当前目录 rpm2cpio /mnt/cdrom/CentOS/initscripts-8.45.30-2.el5.centos.i386.rpm | cpio –idv ./etc/inittab 其他安装选项：rpm –ivh --excludedocs sudo-1. 7.2pl-5.el5.i386.rpm (不安装文档内容) rpm –ivh --prefix PATH sudo-1. 7.2pl-5.el5.i386.rpm (将软件包安装到由PATH指定的路径下) rpm –ivh --test sudo-1. 7.2pl-5.el5.i386.rpm (只对安装进行测试，并不实际安装) rpm –ivh --replacepkgs sudo-1. 7.2pl-5.el5.i386.rpm(覆盖安装该软件包) rpm –ivh --replacefiles sudo-1. 7.2pl-5.el5.i386.rpm(文件冲突，覆盖) rpm –Uvh sudo-1. 7.2pl-5.el5.i386.rpm(升级软件包)

彻底解决局域网内ARP攻击的设置方法

彻底解决局域网内ARP攻击的设置方法 最常见的局域网安全问题就是ARP攻击了，相信百分五十以上的局域网用户都受到过ARP攻击，这种攻击方法非常不好防治，所以普通的局域网用户都不清楚怎么彻底解决ARP攻击问题。如果你用路由器设置了局域网，请看以下如何彻底解决局域网内ARP攻击的设置方法。 一、彻底解决ARP攻击 事实上，由于路由器是整个局域网的出口，而ARP攻击是以整个局域网为目标，当ARP攻击包已经达到路由器的时候，影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计，并不能很好的解决问题。 我们要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心”――交换机下手。由于任何ARP包，都必须经由交换机转发，才能达到被攻击目标，只要交换机据收非法的ARP包，哪么ARP攻击就不能造成任何影响。 我们提出一个真正严密的防止ARP攻击的方案，就是在每台接入交换机上面实现ARP绑定，并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户，在局域网内完全消除了ARP攻击。 因为需要每台交换机都具有ARP绑定和相关的安全功能，这样的方案无疑价格是昂贵的，所以我们提供了一个折衷方案。 二、一般ARP攻击的解决方法 现在最常用的基本对治方法是“ARP双向绑定”。 由于ARP攻击往往不是病毒造成的，而是合法运行的程序(外挂、网页)造成的，所杀毒软件多数时候束手无策。 所谓“双向绑定”，就是再路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。 “ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功;如果攻击手段不剧烈，也欺骗不了路由器，这样我们就能够防住50%ARP 攻击。 但是现在ARP攻击的程序往往都是合法运行的，所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后，攻击程序的作者也提高了攻击手段，攻击的方法更综合，另外攻击非常频密，仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了，仍然很容易出现掉线。 于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的，原理是：当网内受到错误的ARP广播包攻击时，路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题，但是在最凶悍的ARP攻击发生时，仍然发生了问题----当ARP攻击很频密的时候，就需要路由器发送更频密的正确包去消除影响。虽然不掉线了，但是却出现了上网“卡”的问题。 所以，我们认为，依靠路由器实现“ARP攻击主动防御”，也只能够解决80%的问题。

win7_下用arp_命令绑定IP和MAC地址_提示“ARP_项添加失败：拒绝访问”的解决方法。

win7 下用arp命令绑定IP和MAC地址，提示“ARP 项添加失败: 拒绝访问”的解决方法。 在win7中，就算是用管理员登录了系统，运行程序的时候默认是只有普通权限的，要在CMD命令命口系统中进行一些重要的系统设置必须要以管理员的身份运行"CMD"程序。 在以前的WINDOWS系列系统中，都可以直接执行arp -s 命令绑定IP和MAC地址，但是在Win7下如果不是以管理员身份运行时会提示：“ARP 项添加失败：请求的操作需要提升。”注意窗口标题栏是没有管理员字样的。 以管理员身份运行CMD命令提示符是会显示管理员字样 但是就算以管理员身份运行也会提示错误信息“ARP 项添加失败: 拒绝访问。” (英文版提示：The ARP entry addition failed:Access is denied. )。 Win7下绑定IP和MAC地址操作和XP有所差别，Win7用户这时候就需要用netsh命令了。具体操作如下： 1、CMD中输入：netshii show in

然后找到“本地连接”对应的“Idx” (我的是“22”,下面neighbors后面的数字跟这里一致。) 2、下面在CMD输入：netsh -c "ii" add neighbors 22 “网关IP” “Mac地址“，这里22是idx号。注册前面"ii"的双引号是英文状输入，后面网关和MAC地址是不用双引号的。 ok，搞定! 再arp -a看看是不是已经绑定好了? 同理，在Win7上用arp -d并不能完全的删除绑定，必须使用netsh -c "ii" delete neighbors IDX(IDX 改为相应的数字)才可删除MAC地址绑定。 总结： 1、使用arp -a 命令查看网关的MAC网卡物理地址 2、使用netshii show in 命令查看本地连接的idx编号 3、使用netsh -c "ii" add neighbors 本地连接的idx “网关IP” “网关mac” 命令绑定 4、使用arp -a 查看结果

linux程序包管理之rpm

linux程序的源码编译安装方式毕竟比较繁琐，安装后也不易管理，为此linux 官方提供了专门的程序包管理器来解决这些问题 一、程序包管理器 程序包管理器：将源程序编译并打包成一个或有限的几个文件，可用于实现安装、查询、升级、卸载等功能 程序包管理器的管理实现： ①数据库，用于记录： 程序名及版本 程序之间的依赖关系 功能性说明 安装生成的各文件路径及校验码 ②程序的组成清单： 文件清单 安装卸载时运行的脚本 常用程序包管理器： Redhat：rpm（redhat package manager），其对应的程序包后缀为.rpm，对应的前端工具为yum Debian：dpkg，其对应的程序包后缀为.deb，对应的前端工具为apt-get rpm包的制作需要rpmbuild工具，其制作过程这里不作说明，以下详解一下rpm包的管理 二、rpm程序包 2.1、rpm包命名格式：name-version-release.arch.rpm，如httpd-2.2.15-45.el6.centos.x86_64.rpm version：major.minor.release，同源码 release：rpm自身发行号，与源码的发行号无关，仅用于标识对rpm包不同制作的修订，同时release还包含此包适用的OS arch：适用的硬件平台

x86: i386, i486, i586, i686等 x86_64: x86_64 powerpc: ppc noarch: 依赖于虚拟机 2.2、rpm分包机制 一个程序体积可能很大，为了方便管理，rpm包管理器依据功能性差异，将一个程序打包成若干个包 主包（核心包）：其name与源程序一致，如httpd-2.2.15- 45.el6.centos.x86_64.rpm 子包：httpd-devel-2.2.15-45.el6.centos.x86_64.rpm httpd-tools-2.2.15-45.el6.centos.x86_64.rpm 区别：程序x依赖于y和z，若x是基于rpm包安装，则x依赖的是y和z的核心包；若x基于源码编译安装，则x依赖的是y和z的开发包 2.3、获取rpm包的途径 ①官方发行的光盘、官方站点、镜像站点 https://www.wendangku.net/doc/af11342678.html, https://www.wendangku.net/doc/af11342678.html, ②项目的官网：源代码、rpm包 ③第三方机构或个人制作并公开发布许多rpm包 https://www.wendangku.net/doc/af11342678.html, https://www.wendangku.net/doc/af11342678.html, ④额外程序包的可靠途径：EPEL，为Federa所维护 2.4、rpm包的合法性验证 rpm包的合法性包括来源合法性和包的完整性两个方面 包的制作者使用单向加密算法提取出原始数据的特征码，并使用自己的私钥加密这段特征码，附加在原始数据之后 验证过程： 前提：必须有可靠机制获取到包制作者的公钥 ①使用包制作者的公钥解密那段加密的特征码，能解密则说明来源合法

如何有效的防止ARP攻击

ARP欺骗和攻击问题，是企业网络的心腹大患。关于这个问题的讨论已经很深入了，对ARP攻击的机理了解的很透彻，各种防范措施也层出不穷。 但问题是，现在真正摆脱ARP问题困扰了吗？从用户那里了解到，虽然尝试过各种方法，但这个问题并没有根本解决。原因就在于，目前很多种ARP防范措施，一是解决措施的防范能力有限，并不是最根本的办法。二是对网络管理约束很大，不方便不实用，不具备可操作性。三是某些措施对网络传输的效能有损失，网速变慢，带宽浪费，也不可取。 本文通过具体分析一下普遍流行的四种防范ARP措施，去了解为什么ARP问题始终不能根治。 上篇：四种常见防范ARP措施的分析 一、双绑措施 双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。 但双绑的缺陷在于3点：

1、 在终端上进行的静态绑定，很容易被升级的ARP攻击所捣毁，病毒的一个ARP –d命令，就可以使静态绑定完全失效。 2、 在路由器上做IP-MAC表的绑定工作，费时费力，是一项繁琐的维护工作。换个网卡或更换IP，都需要重新配置路由。对于流动性电脑，这个需要随时进行的绑定工作，是网络维护的巨大负担，网管员几乎无法完成。 3、 双绑只是让网络的两端电脑和路由不接收相关ARP信息，但是大量的ARP攻击数据还是能发出，还要在内网传输，大幅降低内网传输效率，依然会出现问题。 因此，虽然双绑曾经是ARP防范的基础措施，但因为防范能力有限，管理太麻烦，现在它的效果越来越有限了。 二、ARP个人防火墙 在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，有很多人以为有了防火墙，ARP攻击就不构成威胁了，其实完全不是那么回事。 ARP个人防火墙也有很大缺陷：