测试在LINUX下是否有ARP跨站脚本攻击测试,测试在LINUX下是否有ARP跨站脚本攻击测试

来源:蜘蛛抓取(WebSpider) 时间:2017-06-26 08:40 标签: cc攻击测试
ubuntu下arp攻击防御和反击
现在网络执法官、P2P终结者常常出现在局域网中胡搞瞎搞,使得网速变慢了,糟糕的话还断网。在windows中只要有“反p2p终结者”或arp防火墙
“antiarp”,就可以轻松解决问题,在linux下呢,以下方法操作是在ubuntu下进行。
用静态arp&.
这种方法就是通过在 /etc/ethers 建立ip和mac地址对应记录。然后用arp&-f来读取记录。这样将网关的mac地址和ip都建立在静态arp&文件里。就不容易被arp&欺骗了。还可以配合关闭arp&解析,用ifconfig
eth0 -arp&&
如何知道自己被用arp欺骗攻击呢?
在终端输入arp,如果除了显示网关IP和MAC地址外,还出现别的计算机的IP和地址的话,说明你现正被出现的那台计算机攻击,不爽的话可以直接走过去按下他的Power键,要是懒得去的话,那就继续看吧。
在能上网时,在终端输入命令:arp,查看网关IP对应的正确MAC地址,(因为受攻击后,网关MAC地址会变成发动攻击的那台计算机的MAC地址,最简单的就是多输命令arp几次,直到显示的MAC地址和其他计算机的MAC地址不同时,就是网关IP对应的正确MAC地址了)将其记录下来。
注:如果已经不能上网,则先运行一次命令arp
&d,将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。步骤如下:
sudo arp -s x.x.x.x xx:xx:xx:xx:xx:xx
(其中x.x.x.x是网关的IP地址,xx:xx:xx:xx:xx:xx是网关的mac地址)
sudo ifconfig eth0 -arp&
每一次电脑重启后以上操作会失效,需要再运行一次。
很多人说以上步骤要修改配置文件很麻烦,这是一个图形界面的解决方式:
用鼠标点击“系统”-&“首选项”-&“会话”,点击“新建”按钮,在名称一栏输入一个名字,如arp-static,命令一栏中输入
gksu "/usr/sbin/arp -s x.x.x.x
xx:xx:xx:xx:xx:xx",最后确定,然后在“启用”前打上勾,这样每次启动ubuntu进入桌面的时候,您只要输入密码就可以运行绑定命令了。(其中x.x.x.x是网关的IP地址,xx:xx:xx:xx:xx:xx是网关的mac地址)
  1.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2
,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。&
  2.建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。&
  3.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。&
网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:&
  192.168.2.32 08:00:4E:B0:24:47&
  然后再/etc/rc.d/rc.local最后添加:&
  arp -f 生效即可
第3种方法&
采用arping&
babo@babo-laptop:~$ arping&
Usage: arping [-fqbDU***] [-c count] [-w timeout] [-I device] [-s
source] destination
-f : quit on first reply
-q : be quiet
-b : keep broadcasting, don't go unicast
-D : duplicate address detection mode
-U : Unsolicited&ARP&mode,
update your neighbours
-A :&ARP&answer
mode, update your neighbours
-V : print version and exit
-c count : how many packets to send
-w timeout : how long to wait for a reply
-I device : which ethernet device to use (eth0)
-s source : source ip address
destination : ask for what ip address
用法举例:比如我的ip 192.168.1.101 网关:192.168.1.1
就用arping -U -I eth0 -s 192.168.1.101 192.168.1.1
显示结果如下
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Unicast reply from 192.168.1.1 [00:21:29:94:62:47]
Sent 12 probes (1 broadcast(s))
Received 12 response(s)
终极解决办法&
采用arpoison来解决是最好的办法了,这个办法还是参考了《linux下arp&攻击的解决方案[原]》的办法。
arpoison需要libnet的库才能正确编译,所以要下载libnet和arpoison两个软件。
arpoison主页&
libnet主页&
现安装libnet,因为是源代码编译,需要gcc等我就不说了。去查看具体ubuntu&源代码安装需要的软件包吧
tar zxvf libnet.tar.gz
cd libnet/
sudo ./configure
sudo make install
编译过程中,会提示也些警告,没有关系。反正安装后,有/usr/lib/libnet.a就可以了
然后安装arpoison
tar zxvf arpoison-0.6.tar.gz&
cd arpoison/
sudo gcc arpoison.c /usr/lib/libnet.a -o arpoison
sudo mv arpoison /usr/sbin
用法举例:
babo@babo-laptop:~$ sudo arpoison
Usage: -i &device& -d
&dest IP& -s &src
IP& -t &target MAC& -r
&src MAC& [-a] [-w time between
packets] [-n number to send]
-i 指定发送arp&包的网卡接口eth0
-d 192.168.1.1 指定目的ip为192.168.1.1
-s 192.168.1.101 指定源ip为192.168.1.101
-t ff:ff:ff:ff:ff:ff
指定目的mac地址为ff:ff:ff:ff:ff:ff(arp&广播地址)
-r 00:1c:bf:03:9f:c7 指定源mac地址为00:1c:bf:03:9f:c7
比如我想防止arp&攻击
sudo arpoison -i eth0 -d 192.168.1.1 -s 192.168.1.101 -t
ff:ff:ff:ff:ff:ff -r 00:1c:bf:03:9f:c7
比如我想攻击192.168.1.50的机器不让他上网
sudo arpoison -i eth0 -d 192.168.1.50 -s 192.168.1.1 -t
ff:ff:ff:ff:ff:ff -r 00:1c:bf:03:9f:c7
如果在本机开始NAT服务
然后通过arp&欺骗把对方的网关地址欺骗到自己这里,因为自己这里开了NAT,对方应该也可以上网吧。然后在本地开wireshark抓包,对方就不知不觉的被监视了。这些想法没有测试,不知道这样欺骗的办法,NAT是否可以。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。用户名:模范生
文章数:154
评论数:198
访问量:119459
注册日期:
阅读量:1297
阅读量:3317
阅读量:444904
阅读量:1130621
51CTO推荐博文
curl命令curl是linux系统命令行下用来简单测试web访问的工具。curl -xip:port
& &-x可以指定ip和端口,省略写hosts,方便实用-I&&&&只显示状态码-v&&&&显示详细过程,可视化操作;-u&&&&指定用户名和密码-O&&&&下载网页文件-o&&&&自定义下载文件名[root@localhost&~]#&curl&-x61.135.157.156:80&&-I
HTTP/1.1&200&OK
Server:&squid/3.4.1
Date:&Mon,&20&Apr&:51&GMT
Content-Type:&text/&charset=GB2312
Connection:&keep-alive
Vary:&Accept-Encoding
Expires:&Mon,&20&Apr&:51&GMT
Cache-Control:&max-age=60
Vary:&Accept-Encoding
X-Cache:&HIT&from&HTTP 200 代表网页正常。curl -Iv
& &-I可以把访问的内容略掉,只显示状态码,-v可以显示详细过程[root@yong&~]#&curl&-Iv&
*&About&to&connect()&to&&port&80&(#0)
*&&&Trying&180.96.86.192...&connected
*&Connected&to&&(180.96.86.192)&port&80&(#0)
&&HEAD&/&HTTP/1.1
&&User-Agent:&curl/7.19.7&(i386-redhat-linux-gnu)&libcurl/7.19.7&NSS/3.16.2.3&Basic&ECC&zlib/1.2.3&libidn/1.18&libssh2/1.4.2
&&Accept:&*/*
&&HTTP/1.1&200&OK
HTTP/1.1&200&OK
&&Server:&squid/3.4.1
Server:&squid/3.4.1
&&Date:&Fri,&24&Apr&:47&GMT
Date:&Fri,&24&Apr&:47&GMT
&&Content-Type:&text/&charset=GB2312
Content-Type:&text/&charset=GB2312
&&Connection:&keep-alive
Connection:&keep-alive
&&Vary:&Accept-Encoding
Vary:&Accept-Encoding
&&Expires:&Fri,&24&Apr&:47&GMT
Expires:&Fri,&24&Apr&:47&GMT
&&Cache-Control:&max-age=60
Cache-Control:&max-age=60
&&Vary:&Accept-Encoding
Vary:&Accept-Encoding
&&X-Cache:&HIT&from&
X-Cache:&HIT&from&
*&Connection&#0&to&host&&left&intact
*&Closing&connection&#0curl -u user:password
& &-u可以指定用户名和密码使用-O 下载web网页;示例,下载51cto博客网页,下载下来的文件是HTML文档;[root@yong&~]#&curl&http://7&-O
&&%&Total&&&&%&Received&%&Xferd&&Average&Speed&&&Time&&&&Time&&&&&Time&&Current
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&Dload&&Upload&&&Total&&&Spent&&&&Left&&Speed
100&68527&&&&0&68527&&&&0&&&&&0&&&176k&&&&&&0&--:--:--&--:--:--&--:--:--&&224k
[root@yong&~]#&file&1636847&
1636847:&ISO-8859&HTML&document&text,&with&very&long&lines
[root@yong&~]#&ls&-l
-rw-r--r--&&1&root&root&&&68527&Apr&24&09:38&1636847还可以使用 -o 自定义下载的名字[root@yong&~]#&curl&http://7&-o&blog.html
&&%&Total&&&&%&Received&%&Xferd&&Average&Speed&&&Time&&&&Time&&&&&Time&&Current
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&Dload&&Upload&&&Total&&&Spent&&&&Left&&Speed
100&68527&&&&0&68527&&&&0&&&&&0&&87925&&&&&&0&--:--:--&--:--:--&--:--:--&&&98k
[root@yong&~]#&ls&-l&blog.html&
-rw-r--r--&1&root&root&68527&Apr&24&09:43&blog.htmllinux下网络相关的几个命令ping & &测试网络是否通格式:ping&&-c 3 & &-c参数指定ping的次数[root@yong&~]#&ping&&-c&3
PING&www.&(180.97.33.108)&56(84)&bytes&of&data.
64&bytes&from&180.97.33.108:&icmp_seq=1&ttl=53&time=32.6&ms
64&bytes&from&180.97.33.108:&icmp_seq=2&ttl=53&time=28.5&ms
64&bytes&from&180.97.33.108:&icmp_seq=3&ttl=53&time=29.2&ms
---&www.&ping&statistics&---
3&packets&transmitted,&3&received,&0%&packet&loss,&time&2034ms
rtt&min/avg/max/mdev&=&28.558/30.130/32.623/1.788&mstelnet & &测试端口是否打开安装telnet命令:yum install -y telnet示例,访问百度的80端口可以连接,3389端口是关闭的;[root@yong&~]#&telnet&&80
Trying&180.96.86.192...
Connected&to&
Escape&character&is&'^]'.[root@yong&~]#&telnet&&3389
Trying&180.96.86.192...
telnet:&connect&to&address&180.96.86.192:&Connection&timed&out
Trying&240e:e1::16...
telnet:&connect&to&address&240e:e1::16:&Network&is&unreachabletraceroute & &追踪路由表安装traceroute命令: yum install -y traceroute[root@yong&~]#&traceroute&
traceroute&to&&(180.96.86.192),&30&hops&max,&60&byte&packets
&1&&192.168.20.1&(192.168.20.1)&&1.397&ms&*&*
&2&&192.168.4.1&(192.168.4.1)&&2.950&ms&&2.415&ms&&2.930&ms
&3&&113.116.76.1&(113.116.76.1)&&5.948&ms&&5.539&ms&&5.138&ms
&4&&113.106.43.101&(113.106.43.101)&&3.044&ms&&3.567&ms&&3.901&ms
&5&&219.133.30.238&(219.133.30.238)&&3.454&ms&&3.070&ms&&2.654&ms
&6&&183.56.65.86&(183.56.65.86)&&6.279&ms&&5.681&ms&183.56.66.2&(183.56.66.2)&&4.197&ms
&7&&202.97.48.109&(202.97.48.109)&&26.995&ms&&26.693&ms&&27.072&ms
&8&&61.160.134.26&(61.160.134.26)&&442.708&ms&&442.285&ms&&440.784&ms
&9&&202.102.69.206&(202.102.69.206)&&24.608&ms&202.102.69.202&(202.102.69.202)&&28.271&ms&202.102.73.14&(202.102.73.14)&&30.530&ms
10&&180.96.48.6&(180.96.48.6)&&23.971&ms&180.96.51.102&(180.96.51.102)&&27.870&ms&&27.521&ms
11&&180.96.35.182&(180.96.35.182)&&25.203&ms&180.96.48.206&(180.96.48.206)&&23.814&ms&180.96.35.182&(180.96.35.182)&&25.058&ms
30&&*&*&*dig,全称Domain Information Groper 域名信息搜索器,用于询问DNS的灵活的工具,显示从受请求的域名服务器返回的答复。和windows里面的nslookup一样的功能。安装dig命令:yum install -y bind-utils使用方法:&dig&@域名服务器&650) this.width=650;" src="/e/u261/themes/default/images/spacer.gif" style="background:url(&/e/u261/lang/zh-cn/images/localimage.png&) no-border:1px solid #" alt="spacer.gif" />[root@yong ~]# dig @114.114.114.114 ;&&&&&&DiG&9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2&&&&&&@114.114.114.114&
;&(1&server&found)
;;&global&options:&+cmd
;;&Got&answer:
;;&-&&HEADER&&-&opcode:&QUERY,&status:&NOERROR,&id:&9644
;;&flags:&qr&rd&&QUERY:&1,&ANSWER:&3,&AUTHORITY:&0,&ADDITIONAL:&0
;;&QUESTION&SECTION:
;;&ANSWER&SECTION:
.181INA14.17.42.40
.181INA59.37.96.63
.181INA14.17.32.211
;;&Query&time:&46&msec
;;&SERVER:&114.114.114.114#53(114.114.114.114)
;;&WHEN:&Fri&Apr&24&09:53:01&2015
;;&MSG&SIZE&&rcvd:&76nc (netcat)功能强大的网络工具,扫描端口;安装nc的命令:yum install -y nc格式:nc -z -w2 &-v&&1-1024&&-w2 表示2s超时;port 可以只写一个端口,也可以写一个范围。使用nc扫描端口时,必须要加 -z(将输入输出关闭)否则不显示结果。-v 显示详细信息,会把不开放的端口也显示出来;[root@yong&~]#&nc&-z&-w2&&80
Connection&to&&80&port&[tcp/http]&succeeded!
[root@yong&~]#&nc&-z&-v&-w2&&20-22
nc:&connect&to&&port&20&(tcp)&timed&out:&Operation&now&in&progress
nc:&connect&to&&port&20&(tcp)&timed&out:&Operation&now&in&progress
Connection&to&&21&port&[tcp/ftp]&succeeded!
nc:&connect&to&&port&22&(tcp)&timed&out:&Operation&now&in&progress
nc:&connect&to&&port&22&(tcp)&timed&out:&Operation&now&in&progress本文出自 “” 博客,请务必保留此出处
了这篇文章
类别:┆阅读(0)┆评论(0)1.获取同一网段下所有机器MAC地址的办法
机房有机器中毒,发arp包,通过arpspoof虽然可以,也可以找到中毒机器的mac地址,但在机房设备不足的情况下,很难查到mac地址对应的IP。然后我们可以通过一个循环,使用arping来对整个子网下面的机器发一个包,这样就可以在arp下面查看到相应的mac缓存,进而得到对
应的IP地址。&
for ((i = 1; i & 254; i++))
arping -I eth0 60.191.82.$i -c 1
arp -a & mac_table
脚本跑完后,查看当前目录生成的mac_table。
#arp -a 查找你中毒时网关的MAC地址,并记录下来在mac_table里寻找到相对应的机器,仍后就可以找出那台机器感染了ARP病毒。
2.#提供方案原创者:yk103,在此表示感谢!
tar -xvzf libnet.tar.gz
./configure
make install
tar -xvzf arpoison-0.6.tar.gz
cd arpoison
gcc arpoison.c /usr/lib/libnet.a -o arpoison
mv arpoison /usr/sbin
编写arpDefend.sh脚本.
#arpDefend.sh
#网关mac地址
GATEWAY_MAC=00:11:BB:A5:D2:40
#目的mac地址
DEST_MAC=ff:ff:ff:ff:ff:ff
#目的ip地址(网段广播地址)
DEST_IP=60.191.82.254
#本地网卡接口
INTERFACE=eth0
#$INTERFACE的mac地址
MY_MAC=00:30:48:33:F0:BA
#$INTERFACE的ip地址
MY_IP=60.191.82.247
#在本机建立静态ip/mac入口 $DEST_IP--$GATEWAY_MAC
arp -s $DEST_IP $GATEWAY_MAC
#发送arp reply ,使$DEST_IP更新$MY_IP的mac地址为$MY_MAC
arpoison -i $INTERFACE -d $DEST_IP -s $MY_IP -t $DEST_MAC -r $MY_MAC 1&/dev/null &
&&相关文章推荐
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:274970次
积分:4062
积分:4062
排名:第7568名
原创:26篇
转载:688篇
(9)(3)(7)(4)(8)(77)(76)(32)(2)(1)(1)(6)(7)(9)(7)(2)(2)(5)(10)(5)(2)(8)(17)(27)(8)(21)(37)(30)(13)(16)(44)(53)(30)(54)(81)您所在的位置: &
Arpwatch:ARP中间人攻击检测器(Linux)
Arpwatch:ARP中间人攻击检测器(Linux)
Arpwatch是LBNL网络研究组出品的一款经典的ARP中间人(man-in-the-middle)攻击检测器。它记录网路活动的系统日志,并将特定的变更通过Email报告给管理员。Arpwatch使用LibPcap来监听本地以太网接口ARP数据包。
Arpwatch是LBNL网络研究组出品的一款经典的ARP中间人(man-in-the-middle)攻击检测器。它记录网路活动的系统日志,并将特定的变更通过Email报告给管理员。Arpwatch使用LibPcap来监听本地以太网接口ARP数据包。ARPWatch是一个守护进程,其用来监视网络中出现的新的以太网接口。如果发现了一个新的ARP数据包,就表示发现了一个新的计算机接入网络。
下载链接:
ARPWatch需要PCap函数库(libpcap),可以在http://www.tcpdump.org下载。
ARPWatch相关网页:http://sparemint.atariforge.net/sparemint/html/packages/arpwatch.html
#tar -zxvf arpwatch.tar.gz#cd arpwatch#./configure#make#make install
ARPWatch将默认安装到/usr/local/sbin下。
运行ARPWatch时,当其在网络中发现一个新的MAC地址时,将向SYSLOG守护进程报告。其会频繁地向/var/log.messages文件输出。
可以通过 grep arpwatch /var/log/messages 命令查看ARPWatch找到的新主机。
ARPWatch还会向系统中的root帐号发送邮件报告新发现主机的细节信息。
ARPWatch有一个监控数据库,名为arp.dat。在不同的系统中,其位置可能会有变化。可以通过find / -name &arp.dat&来查找它的位置。
如果要重新设置arp.dat数据库,可以删除它,再建立之。
*注意:如果攻击者修改了该文件并且手动添加了自己的条目,那么当ARPWatch发现一个新的主机后将不会通知你。所以,需要确保arp.dat文件被AIDE等HIDS所监控。【责任编辑: TEL:(010)】
关于&&的更多文章
【导读】目前,因为ARP而导致企业网络瘫痪的例子举不胜举,很多
随着云计算、物联网、大数据、移动互联网的大发展,你应该知道这些。
创新的思科安全数据中心解决方案是唯一能够保护整个数
热播谍战电影《007:大破天幕杀机》中,英国情报处面
Fortinet(飞塔)公司作为领先的网络安全设备生产厂商
本书是关于Acegi、CAS的权威教程,是Java/Java EE安全性开发者的必备参考书。无论是Java EE安全性编程模型的背景和基础知识,还
51CTO旗下网站您的浏览器已经禁用了脚本,这会严重影响您正常使用本站的功能,请开启!
当前位置: &
arping命令
arping命令是用于发送请求到一个相邻主机的工具,arping使用arp数据包,通过命令检查设备上的硬件地址。能够测试一个地址是否是在网络上已经被使用,并能够获取更多设备信息。功能类似于ping。
arping(选项)(参数)
-b:用于发送以太网广播帧(FFFFFFFFFFFF)。arping一开始使用广播地址,在收到响应后就使用unicast地址。
-q:quiet output不显示任何信息;
-f:表示在收到第一个响应报文后就退出;
- timeout:设定一个超时时间,单位是秒。如果到了指定时间,arping还没到完全收到响应则退出;
-c count:表示发送指定数量的ARP请求数据包后就停止。如果指定了deadline选项,则arping会等待相同数量的arp响应包,直到超时为止;
-s source:设定arping发送的arp数据包中的SPA字段的值。如果为空,则按下面处理,如果是DAD模式(冲突地址探测),则设置为0.0.0.0,如果是Unsolicited ARP模式(Gratutious ARP)则设置为目标地址,否则从路由表得出;
-I interface:设置ping使用的网络接口。
目的主机:指定发送ARP报文的目的主机。
[root@localhost ~]# arping
ARPING 220.181.111.147 from 173.231.43.132 eth0
Unicast reply from 220.181.111.147 [00:D0:03::48:00]
Unicast reply from 220.181.111.147 [00:D0:03:BC:48:00]
Unicast reply from 220.181.111.147 [00:D0:03:BC:48:00]
Unicast reply from 220.181.111.147 [00:D0:03:BC:48:00]
Unicast reply from 220.181.111.147 [00:D0:03:BC:48:00]
Unicast reply from 220.181.111.147 [00:D0:03:BC:48:00]
Unicast reply from 220.181.111.147 [00:D0:03:BC:48:00]
Unicast reply from 220.181.111.147 [00:D0:03:BC:48:00]
Sent 8 probes (1 broadcast(s))
Received 8 response(s)
最近更新的命令
在Linux命令大全(man.linuxde.net)可以查询您所需要的Linux命令教程和相关实例。如果您觉得本站内容对您有所帮助,请推荐给更多需要帮助的人。

我要回帖

更多关于 cc攻击测试 的文章

 

随机推荐