虚拟网关解决ARP攻击WEB安全

虚拟网关解决ARP攻击WEB安全（精选8篇）

1.虚拟网关解决ARP攻击WEB安全 篇一

防止ARP攻击站长们一个常要做的事情，同时如果是机房有ARP攻击的话我们也没什么好了，在windows 我们通用使用安全狗之类的工具来防止，但起不到什么作了，但在linux不可以使用一些命令很好有效的防止arp攻击了，下面我来介绍一些linux arp攻击防止的配置方法，

一般VPS的网关是不会变动的，且独服也适用。

一、查看当前网关

arp -a

SSH执行以上命令，可查看到网关主机名、网关IP、网关MAC地址和对应的网卡，如下图

二、绑定网关MAC

1)绑定

echo “198.52.103.193 00:D0:2B:D1:58:80” >/etc/ethers#黄色部分请根据实情修改。格式：网关IP(空格)MAC地址 #www.111cn.net

2)激活使其生效

arp -f /etc/ethers

SSH执行以上命令，使其生效。

三、检查是否生效

再次执行以上命令，如下图，若句尾多了一个：【PERM】，则表示手动绑定生效。

四、开机自动执行arp -f

#打开并显示 /etc/rc.d/rc.local文件，启动项文件

vi /etc/rc.d/rc.local

i#编辑

#启动的时候执行arp -f按照/etc/ethers 中的内容绑定，在 /etc/rc.d/rc/local 文件中最后加一行

arp -f

#退出编辑

ESC

#保存编辑

:wq

arp -f //执行保存的绑定

补充:

/*使用arpspoof抵御ARP攻击*/

#提供方案原创者:yk103,在此表示感谢!

先安装libnet

www.packetfactory.net/libnet/dist/libnet.tar.gz

tar -xvzf libnet.tar.gz

cd libnet

./configure

make

make install

安装arpoison

www.arpoison.net/arpoison-0.6.tar.gz

tar -xvzf arpoison-0.6.tar.gz

cd arpoison

gcc arpoison.c /usr/lib/libnet.a -o arpoison

mv arpoison /usr/sbin

编写arpDefend.sh脚本.

代码:#!/bin/sh

#arpDefend.sh

#yk103

#网关mac地址

GATEWAY_MAC=00:11:22:33:44:55

#目的mac地址

DEST_MAC=ff:ff:ff:ff:ff:ff

#目的ip地址(网段广播地址)

DEST_IP=60.191.82.254

#本地网卡接口

INTERFACE=eth0

#$INTERFACE的mac地址

MY_MAC=00:30:48:33:F0:BA

#$INTERFACE的ip地址

MY_IP=60.191.82.247

#在本机建立静态ip/mac入口 $DEST_IP--$GATEWAY_MAC

arp -s $DEST_IP $GATEWAY_MAC

#发送arp reply ,使$DEST_IP更新$MY_IP的mac地址为$MY_MAC

arpoison -i $INTERFACE -d $DEST_IP -s $MY_IP -t $DEST_MAC -r $MY_MAC 1>/dev/null &

2.虚拟网关解决ARP攻击WEB安全 篇二

防止ARP攻击可以使用ip捆绑技术，

动态捆绑IP地址，可以使用DHCP服务器来绑定用户网卡MAC地址和IP地址，再根据不同IP设定权限。

静态捆绑IP地址“192.168.120.59”与MAC地址为“00-50-ff-6c-08-75”，单击“开始→运行”并在打开的“运行”窗口中敲入“cmd”打开命令行窗口，然后输入以下命令：

捆绑：arp -s 192.168.10.59 00-50-ff-6c-08-75

解除捆绑：arp -d 192.168.10.59

2． 防止DOS攻击

逆向转发（RPF），该功能用来检查路由器接口所接收到的每一个数据包。如果路由器接收到一个源IP地址为10 10.10.1的数据包，但是CEF（Cisco Express Forwarding）路由表中没有为该IP地址提供任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。使用RPF功能需要将路由器设为快速转发模式（CEF switching），并且不能将启用RPF功能的接口配置为CEF交换。

3． 防止非法DHCPServer

将交换机上的信任接口和非信任的分开。信任的被允许响应DHCP请求,非信任则不然。交换机跟踪非信任端口的DHCP绑定,并将DHCP消息限制在一定速率内

启用DHCP偷窥

Switch(config)#ip dhcp snooping

针对VLAN必须启用DHCP偷窥

Switch(config-if)#ip dhcp snooping vlan number

在接口级设置信任端口

Switch(config-if)#ip dhcp snooping trust

对非信任端口速率限制

Switch(config-if)#ip dhcp snoping limit rate [rate]

在交换机端口有多个系统(通过交换机等)DHCP偷窥不是很有用

DHCP VACL可规定那些地址能发送DHCP回复,过滤其他的DHCP回复

配置命令:

set security acl ip ROGUE-DHCP permit udp host 192.0.2.1 any eq 68

set security acl ip ROGUE-DHCP permit udp host 10.1.1.99 any eq 68

set security acl ip ROGUE-DHCP deny udp any eq 68

set security acl ip ROGUE-DHCP permit ip any eq 68

3.虚拟网关解决ARP攻击WEB安全 篇三

一、模拟 攻击

这里，我们首先来了解这个漏洞的具体情况。Qzone的跨站漏洞是网友无意中打开类似“hxxp://u ser.qzone.qq.com/QQ号码?url=任意字母”时发现的，这时网页显示为一个框架网页，中间为“无法打开网页”的空白页面(如图1);然而，当输入类似“hxxp://u ser.qzone.qq.com/QQ号码?url=www.baidu.com”的地址时却可以正常显示，这时url后的网址其实在幕后是加载的。那么，Qzone的跨站漏洞又是如何被 作为木马的媒介的呢?

第一步： 需要对该地址进行乔装改扮一番。比如：网页木马的url为“www.muma.com/muma.exe”。 会使用URl加密技术来为木马地址作掩护，常用的方法是把url地址转换为16进制，这里以ASCII码随心换为例(如图2)进行示范。

第二步： 将Qzone的地址设置为“hxxp://u ser.qzone.qq.com/QQ号码?url=%68%74%74%70%3A%2F%2F%77%77%77%2E%6D%75%6D%61%2E%63%6F%6D%2F%6D%75%6D%61%2E%65%78%65”并在网页上贴出Qzone的地址来引诱网友点击，用户往往点击了该地址下载运行了木马还蒙在鼓里。

二、如何防范Qzone攻击

方法1：既然这一跨站漏洞这么隐蔽，用户感染的几率也不会低，

我们需要如何来防范这一漏洞可能造成的危害呢?做到不感染病毒，未雨绸缪是最有效果的。因此，我们在访问网友的Qzone前，要多长几个心眼，要观察其网址的形式。

一般正常的Qzone的地址是“hxxp://u ser.qzone.qq.com/号码”或者“号码.qzone.qq.com/”形式的，如果出现“hxxp://u ser.qzone.qq.com/QQ号码?url=”的地址就要谨慎了，Qzone也可能出现类似“hxxp://u ser.qzone.qq.com/号码/?url=http%3A//photo.qq.com/tips_jump.htm%23uin%3D号码%26albumid%3D393029702%26photoid%3D”的地址，如果地址里面完全没有QQ的地址段，那么为了防止下载运行网页木马，可以将url后的字符输入到ASCII码随心换进行转换(如果是像以上地址的格式，可以将%后的十六进制字符逐个进行转换来获得完整地址)，如果url指向可执行文件就不能点击了。

方法2：为了防止系统被种植网页木马，还可以安装杀毒软件和防火墙并需要开始实时文件和网络监控，这样即使下载了网页木马也会被清除。如果发现了可疑的Qzone地址要及时举报，让 成为过街老鼠，毫无藏身之处。

小结:Qzone的跨站漏洞被用来种植木马具有受众广的特点，Qzone的地址经过加密化装后，又有几个人会仔细地进行甄别呢?因此，利用人们偷窥人家隐私空间的好奇心来传播木马是很有效果的。

4.ARP攻击是什么 篇四

ARP攻击原理

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障，

5.网络遭遇ARP欺骗攻击的症状 篇五

接下来就开始有三三两两的说网络不正常的，包括Web浏览、股票行情、视频直播，都出现问题，这下麻烦大了。在自己机器上开ping，外部网站、DNS，都不正常，从30ms到丢包，不规律重复出现。

查看已经打开的页面源文件，第一行有一个iframe，访问一个直接数字ip开头的vip.htm页面，但是那个页面打不开，这个应该就是所有网站打开缓慢的原因之一。

打电话给ISP，让他们反向ping回来，过了几分钟，反馈说一切正常，维持在1-2ms之间，ISP嫌疑排除，继续。

询问ISP是否做广告推送，确认没有。

带笔记本到机房，直接接到ForitGate上，一切正常，故障定位在下层交换机。

怀疑arp欺骗(已经碰到过n次了)，笔记本看一下网关，到别的地方看一下，果然不同，确定故障，

到FortiGate的dhcp log里面查找那个问题mac，居然没有，想不通。

先群发bqq消息，通知有问题的人下载antiARP安装，继续查。

找一台有问题的机器，做全c段ip scan，然后arp –a，看到那个问题机器的mac对应的ip。

问题ipd$，出现登录窗口，看到问题机器名，找到。

将问题机器断网，杀毒，杀木马，搞定。

整个流程是这样：问题机器中木马，开始arp欺骗，其他机器收到arp广播，认为问题机器是网关，于是走这条路，问题机器将http请求开头加上那个iframe，目的是为了流量或者广告或者再传播。

总结一下

6.虚拟网关解决ARP攻击WEB安全 篇六

付正林

随着社会的发展，信息技术对教育教学的影响越来越广，越来越多的学校与教师对网络依赖也越来越大；而对中小学校园内局域要求也是一天比一天高。但现在ARP病毒攻击成为局域网杀手，造成校园网络无法正常使用。ARP病毒攻击，以成各中小学校网络管理员公认为最头痛的事。而各中小学网络管理员如何面对ARP病毒攻击呢？

ARP与ARP病毒简介

ARP全称：Address Resolution Protocol 地址解析协议。ARP的作用：实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。（物理地址即网络中的MAC地址，也就是全世界所有网卡中的唯一标识代码）

ARP病毒：就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP病毒攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马病毒，则感染该ARP木马病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

遭受ARP攻击后现象：ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等，不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网，严重者跟本无法正常连接网络。

应对中小学校园网内ARP病毒攻击的思考

现在各中小学普遍存在ARP病毒攻击的原因有如下几个方面：第一网络安全设备配置不齐全，使校园内网络结构比较简单；第二中小学的网络管理员绝大部分是电脑教师兼职，专业水平与发展方向出现偏差；第三使用者——教师使用电脑与网络的不正确或者说不规范，比如在不在安全的网站下载文件、使用U盘或者移动硬盘传输文件与在网上浏览不正规的网站等；第四忽视对应该服务系统的有效管理与建设，这与学校经费或者上经领导重视或管理者水平有关。第五网络技术与病毒更新太快，管理员的学习跟不上发展速度，加强网络管理员的相关业务学习很重要。

现在流行的维护方法：静态绑定、Antiarp和具有ARP防护功能的路由器。但这只是针对网络与使用设置的一种应对措施，相对中小学小而全的校园网而言，还远远不够。我们应全面考虑各种因素，多管齐下来应对ARP病毒攻击问题。第一：从病毒来原入手，第二从病毒攻击方式考虑，第三对使用者——教师的电脑与网络使用的相关培训，第四网络管理者专业水平的提高，第五学校的重视。

应对ARP病毒攻击的具体措施

从全局角度来思考：教育信息化实现的基础是网络正常运行，各种信息化的教育教学活动没有网络的正常运行再好的东西也无法使用。如无纸化办公（OA系统）、教学资源库、家校通、广港校际在线交流（视像中国）、远程集体备课、学生电子书包、电子课堂等。各种现代化信息教育教学都运行在良好的网络环境之上，网络与现代信息化教育教学活动的基础。所以学校必需重视才行，不然何谈教育信息化。学校的重视也有利于网络管理员的工作，如加大网络基础的投入、与部门的工作配合、参加各种有利于业务水平提高的培训与交流活动等。争取学校的重视，是网络工作是有力保证。争取学校的重视，首先要把自己的本职工作做好，做好了本职工作是领导重视的前提。其次是做好网络工作计划，一个合理的计划能更有利于我们开展工作，也能更好地获得所有管理者与参与者支持。然后整理好工作中遇到的问题和教师的使用意见，是向学校提供决策的重要参考意见。

从网络技术角度来解决：技术方面首先是病毒来源着手，ARP病毒一般都与木马病毒共存，病毒来源有三个方面，第一是因特网，第二是U盘或移动硬盘等移动式存储器，第三是网内原有电脑上本身就存有。应对因特网上的木马或者病毒，我们一定要加装防火墙，做好相关策略。设置防火墙的技术策略这里不详讲，因为各种不同的防火墙有不能的命令与解决方法。应该对内部病毒，我们应该先组织一次全面的清理活动，在最大可能减少内部病毒的出现，然后加装相关的杀毒软件与单机防火墙。应该移动存储器内的病毒主要是加强使用者的防范意识，经常查杀自己移动存储器，每天使用时都必须检查病毒后再使用。

然后从ARP病毒攻击原理来处理，第一静态绑定：最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定，使ARP无法欺骗。第二内网分段，根据各区域与功能相关不同使用者，划分不同的VLin。这样就算网内有机器感染了ARP病毒，也不会迅速传播到整个局域网，让管理员有足够的时间与空间来处理。第三，有条件的学校可以做到终端交换机端口划分与绑定，在这不多言。第四，核心交换机上，利用交换机的统计功能，对某一MAC地址一定时间内对网关请求数过大（如每分钟大于90次），即断开这台电脑的网络。这是因为现在绝大部分中小学网络管理员都是兼职，不可能经常在监视网络运行情况；这样在网络管理员不在的情况下，可以在一定程度上保证网络正常运行。第五，每天定时认真查看路由器、防火墙、上网行为管理设备、核心交换机等关键网络设置记录，了解网络运行情况。第六，使用Sniffer等网络工具定时扫描网络内部情况，并认真分析异常情况，提前发现问题并解决问题。

最后从应用角度来防范，第一，使用并有效管理好公共服务器系统，特别是文件服务器、资源库服务器、BBS服务器等流量比较大，利用率比较高的服务器。这些公共服务系统可以减少老师对移动存储器的使用，更能相对较少地减少老师在使用外网时中毒的机率。这些重要服务器应该划分单独的VLin,并做好相关的安全策略，能安全服务器杀毒软件是最好的。专业的网络管理员提出的服务器不应该装杀毒，也是有道理的，但现在中小学里的网络管理员并不是非常专业的网络技术管理员，也不能时刻监视网络情况与服务器系统情况，我们都是业余级的。第二，当发现网内有机器感染了ARP病毒，最简单的方法是：先断该机器的网络连接，最好是物理中断；然后保存好该机器内重要数据，然后在干净的网络环境下清理所有数据，并重装系统等相关工作；同时对机器使用者进行解释说明与相关宣传工作。在干净的网络环境这点很重要，可以避免机器二次感染。

从自身角度来提高：时代是发展的。网络信息技术的发展更是以超出人们想象的速度在发展。培训与学习更是应对各种网络问题的重中之重。技术培训分二部分，第一是网络管理员的业务水平技术培训与学习。第二是网络使用者的电脑与网络应用技巧的校本培训。对于学校来说，应该创造条件，让网络管理员不断参加各种网络技术相关的培训学习班或者研讨会；网络管理员也要通过各种途径来学习各种新技术，了解技术的展情况。比如网上的技术论坛上参与讨论与学习：中国网管论坛（http://bbs.bitscn.com/）、网络管理员（http://bbs.krshadow.com/forum-20-1.html）、51TCO技术论坛（http://bbs.51cto.com/forum-143-1.html）等。网络管理员也应该经常在学校内部进行电脑与网络应用的相关校本培训，提高使用者的应该水平与防病毒能力；同时经常与不同应用能力的使用者之间进行小范围的研讨工作，深入一线使用者中，去了解各种使用者的应用情况。把学校校园网比做一个人的话，提高网络管理者与应用都自身水平，就是像是提高人的身体素质一样，是应对病毒攻击最好的办法。

应对ARP病毒攻击，从学校指导思想层、校园网络管理层、网络应用层来发展问题并解决问题，才是应对ARP病毒攻击基本。做好这三者之间的工作，应对ARP病毒攻击就能轻松自如。

7.设置gate网关连接两台虚拟机 篇七

1、clone 两台 VM

vm1 未启动时，选择 VM ->clone...，选择 full clone，

重复一次。分别重命名为 vm2, gate。

2、添加网络接口

gate 未启动时，VM ->Settings ->Add: Ethernet2

3、配置主机 VM ->Settings，选择网络连接：

主机 接口    连接

vm1  Ethernet  Custom ->VMnet1

vm2  Ethernet  Custom ->VMnet8

8.ARP解决方案 篇八

网络执法官、彩影arp防火墙等ARP攻防软件也用这个，如果你把这个DLL文件删除了，之后随便弄个DLL改名为npptools.dll即可。

如果C盘是NTFS分区格式就把权限都去掉，如果是FAT格式弄个只读就可以了。防攻击文件：C:WINDOWSsystem32 npptools.dll

处理方法：新建一个空文本文档，改名为npptools.dll然后把它复制到system32文件夹里，覆盖原有的npptools.dll，如果没关闭文件保护，先关闭。再把system32dllcache里的npptools.dll也覆盖了，然后把它们的属性改为只读、隐藏，最后再把它们的everyone权限都去掉，即可！