容器技术交流

 找回密码
 立即注册
查看: 3838|回复: 5

famp的防火墙怎么不能抵御ARP攻击?

[复制链接]
发表于 2009-9-11 14:54:19 | 显示全部楼层 |阅读模式
因为famp5.1.0中集成了防火墙,所以也没有另外装洞版的“一键安装FreeBSD防火墙(IPFW)”,但发现不能抵御ARP攻击,现在该怎么办?
能不能做一个专门的ARP防火墙软件,遇到ARP攻击时自动分析并丢掉其访问的数据包?
发表于 2009-9-11 16:22:25 | 显示全部楼层
netstat -na | grep SYN_RCVD | awk '{print $5}' | awk -F. '{print $1"."$2"."$3"."$4}'|sort|uniq -c|sort -dn
ipfw add 10002 deny all from 要封掉的ip to any
ipfw -a list


netstat -na | grep SYN_RCVD | awk '{print $5}' | awk -F. '{print $1"."$2"."$3"."$4}'|sort|uniq -c|sort -dn
ipfw add 10002 deny all from 116.245.210.62 to any
ipfw -a list
发表于 2009-9-11 16:27:36 | 显示全部楼层
ARP????

你用用试试吧, 不知道ipfw能不能防arp
 楼主| 发表于 2009-9-11 20:07:42 | 显示全部楼层
netstat -na | grep SYN_RCVD | awk '{print $5}' | awk -F. '{print $1"."$2"."$3"."$4}'|sort|uniq -c|sort -dn
ipfw add 10002 deny all from 要封掉的ip to any
ipfw -a list


netstat -na | grep SYN_RCV ...
小猴 发表于 2009-9-11 16:22
问题是现在不知道是哪台机器在攻击,您的方法可能不太可行。
我们是内部网,买断了以10.*.*.*打头的IP段。由于每台机器都要有一个真实的IP才能上网,而且所有上网电脑及IP都要通过一个注册软件注册,没有注册的IP被有针对性的使用ARP攻击使其掉线不能正常访问网络。原来我不知道他们阻断入网使用的方法是基于ARP协议,偶然一次,我发现服务器不能访问,于是就打开服务器,发现不断提示前面是时间,后面是ARP,再后面就是不同网卡的物理地址,基本上是每秒至少3次的刷屏,致使我连系统都没有办法登陆。

我想,解决的办法是要写一个脚步或者程序,对于这种情况要能自动判断攻击来源机器的IP,然后直接丢掉其数据包或者封掉IP。
发表于 2009-9-12 21:27:44 | 显示全部楼层
解决ARP的根本办法在于做双向MAC绑定,不是单靠防火墙软件
请机房在交换机上给你做你机器的MAC绑定,同时在你机器上再绑定网关的MAC
 楼主| 发表于 2009-9-12 21:47:34 | 显示全部楼层
因为特殊原因不能动机房的设备,只能动自己的服务器。
我想解决的方法应该是有的。要不瑞星、360、金山怎么都有开启ARP的选项?只是现在unix下没有这样的软件而已。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Archiver|URLOS ( 粤ICP备18087780号 )

GMT+8, 2025-7-10 02:33 , Processed in 0.033823 second(s), 18 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表