famp的防火墙怎么不能抵御ARP攻击？

向光明 · 发表于 2009-9-11 14:54:19

因为famp5.1.0中集成了防火墙，所以也没有另外装洞版的“一键安装FreeBSD防火墙（IPFW）”，但发现不能抵御ARP攻击，现在该怎么办？
能不能做一个专门的ARP防火墙软件，遇到ARP攻击时自动分析并丢掉其访问的数据包？

小猴 · 发表于 2009-9-11 16:22:25

netstat -na | grep SYN_RCVD | awk '{print $5}' | awk -F. '{print $1"."$2"."$3"."$4}'|sort|uniq -c|sort -dn
ipfw add 10002 deny all from 要封掉的ip to any
ipfw -a list

netstat -na | grep SYN_RCVD | awk '{print $5}' | awk -F. '{print $1"."$2"."$3"."$4}'|sort|uniq -c|sort -dn
ipfw add 10002 deny all from 116.245.210.62 to any
ipfw -a list

小猴 · 发表于 2009-9-11 16:27:36

ARP????

你用用试试吧，不知道ipfw能不能防arp

向光明 · 发表于 2009-9-11 20:07:42

netstat -na | grep SYN_RCVD | awk '{print $5}' | awk -F. '{print $1"."$2"."$3"."$4}'|sort|uniq -c|sort -dn
ipfw add 10002 deny all from 要封掉的ip to any
ipfw -a list

netstat -na | grep SYN_RCV ...
小猴发表于 2009-9-11 16:22

问题是现在不知道是哪台机器在攻击，您的方法可能不太可行。
我们是内部网，买断了以10.*.*.*打头的IP段。由于每台机器都要有一个真实的IP才能上网，而且所有上网电脑及IP都要通过一个注册软件注册，没有注册的IP被有针对性的使用ARP攻击使其掉线不能正常访问网络。原来我不知道他们阻断入网使用的方法是基于ARP协议，偶然一次，我发现服务器不能访问，于是就打开服务器，发现不断提示前面是时间，后面是ARP，再后面就是不同网卡的物理地址，基本上是每秒至少3次的刷屏，致使我连系统都没有办法登陆。

我想，解决的办法是要写一个脚步或者程序，对于这种情况要能自动判断攻击来源机器的IP，然后直接丢掉其数据包或者封掉IP。

jsp · 发表于 2009-9-12 21:27:44

解决ARP的根本办法在于做双向MAC绑定，不是单靠防火墙软件
请机房在交换机上给你做你机器的MAC绑定，同时在你机器上再绑定网关的MAC

向光明 · 发表于 2009-9-12 21:47:34

因为特殊原因不能动机房的设备，只能动自己的服务器。
我想解决的方法应该是有的。要不瑞星、360、金山怎么都有开启ARP的选项？只是现在unix下没有这样的软件而已。

		自动登录	找回密码
密码			立即注册