由于一般的arp病毒在发送欺骗包时会修改自身的mac地址,这使我们在快速排查中毒机器有一定困难。但这可以通过mac与ip绑定的方式解决,即所有内网机器的ip都通与mac绑定的方式分配,这样所有未登记的不合法mac就无法连接到内网了。
如果局域网内已经有网关欺骗而导致无法上网时,我们还可以通过在本机上绑定网关的mac地址和ip来解决欺骗问题。但此步需要一个条件,即你要知道真实的网关ip和mac地址。操作如下:
方法一:(此方法对linux和windows都适用)
1,列出局域网内所有机器的mac地址,如果此步列出的路由表中网关ip 和网关mac地址与真实不符,就也证明你已经被网关欺骗了。
arp -a
2,绑定mac地址
arp -s 192.168.1.1 00:07:E9:xx:xx:xx
注意:这里192.168.1.1有可能有换成hostname,假如你的网关设置了hostname的话。
方法一:(适用于linux)
1,创建一个/etc/ethers文件,比如你要绑定网关,那就在/etc/ethers里写上:
192.168.1.1 00:07:E9:xx:xx:xx
然后执行
arp -f
操作完成你可以使用arp -a查看当前的arp缓存表,如果列表显示正确,那么你的绑定操作已成功,如果还有绑定其它机器的话,比如ftp等,那就继续添加记录。
说明:此处的192.168.1.1为你的网关地址,00:07:E9:xx:xx:xx为你的网关mac地址。
注意:Linux和Widows上的MAC地址格式不同。Linux表示为:AA:AA:AA:AA:AA:AA,Windows表示为:AA-AA-AA-AA-AA-AA。
注意:每次重启机器后需要重新绑定mac地址,你可以写一个自动脚本后加到自启动项目中。
另外,mac地址的绑定需要双向的,即机器a绑定了机器b,机器b也要绑定机器a,这样arp病毒才会被彻底挡住。
. TAG: Linux MAC地址绑定