前兩天家里的網(wǎng)斷斷續(xù)續(xù)，發(fā)現(xiàn)有人在用arp欺騙，其實(shí)真正碰到有人在攻擊的幾率不大，大部分原因都是有人在用win下的諸如“P2P終結(jié)者”這樣的軟件導(dǎo)致的。再怎么bs那人也是沒有用的，問題還是要解決，win下倒是好辦，現(xiàn)成的軟件多的是 ，linux下面就要自己動(dòng)手了^^.

arp欺騙的原理不多述，基本就是利用發(fā) 送假的arp數(shù)據(jù)包，冒充網(wǎng)關(guān)。一般在網(wǎng)上通訊的時(shí)候網(wǎng)關(guān)的IP和MAC的綁定是放在arp 緩存里面的，假的arp包就會(huì)刷新這個(gè)緩存，導(dǎo)致本該發(fā)送到網(wǎng)關(guān)的數(shù)據(jù)包發(fā)到了欺騙 者那里。解決的辦法就是靜態(tài)arp.

假設(shè)網(wǎng)關(guān)的IP是192.168.0.1，我們要 先得到網(wǎng)關(guān)的正確MAC，先ping一下網(wǎng)關(guān)：

ping 192.168.0.1

然后運(yùn)行arp查看arp緩存中的網(wǎng)關(guān)MAC： localhost~$ arpAddress HWtype HWaddress Flags Mask

Interface192.168.0.1 ether 00:12:34:56:78:9A C eth0

這里得到的網(wǎng)關(guān)MAC假定 為00:12:34:56:78:9A，C代表這個(gè)綁定是保存在緩沖里的，我們要做的就是把這個(gè)IP和 MAC靜態(tài)的綁定在一起，首先建立/etc/ethers文件，輸入以下內(nèi)容： 192.168.0.1 00:12:34:56:78:9A

保存退出，之后便是應(yīng) 用這個(gè)靜態(tài)綁定： localhost~$ arp -f

再運(yùn)行arp查看： localhost~$ arpAddress HWtype HWaddress Flags Mask

Interface192.168.0.1 ether 00:12:34:56:78:9A CM eth0

多了個(gè)M，表示靜態(tài)網(wǎng)關(guān) ，OK收工～

另外，如果你不會(huì)和局域網(wǎng)內(nèi)的用戶通訊的話，那么可以干脆 把a(bǔ)rp解析關(guān)掉，假定你的網(wǎng)卡是eth0，那么可以運(yùn)行： localhost~$ ifconfig eth0 -arp

這樣對(duì)付那些終結(jié)者軟件就可以了，但是真的有人想攻擊的話，這樣還是不夠的，因?yàn)楣粽哌€可以欺騙網(wǎng)關(guān)，解決的辦法就是在網(wǎng)關(guān)和 局域網(wǎng)內(nèi)機(jī)器上做雙向綁定，原理方法同上，一般網(wǎng)吧里面也是這樣做的。

【編輯推薦】

1. 修改Linux系統(tǒng)下22端口的兩種方法
2. Linux下使用網(wǎng)站主機(jī)作為加密代理服務(wù)器
3. Mac和Linux將面臨新的漏洞攻擊