中文 
安洛
deepin
2023-01-05 06:16 deepin 我听说现在新的路由器大多数已经具备很完善的防arp攻击功能,要发动arp攻击没有那么容易了。能不能讲解一下?
Reply Like 0 View the author
All Replies
#1
Lwh2008-Equinox
deepin
2023-01-05 17:32 deepin 我主要想知道apparmor具体怎么配置?
Reply Like 0 View the author
LinuxhzxWuLiao@outlook.com
deepin
2023-01-05 18:12 deepin 安洛:
我听说现在新的路由器大多数已经具备很完善的防arp攻击功能,要发动arp攻击没有那么容易了。能不能讲解一下?
局域网内的攻击:道高一尺魔高一丈,要是外国的那还好说,用软件屏蔽不良IP,因为那是远程的,好操作。可是局域网就没那么幸运了,局域网内对方可以做的操作比远程的更多,尤其是抓包和报文扫描,我19年遭过一次,整个网络排查了个遍,后来我开启了华为防火墙的绑定,注意,是防火墙,不是路由器,我没动路由器的IP绑定,结果无效,杀毒软件每隔几分钟报一次请更换网络,检测到中间人攻击。然而,很多路由器没有直接说明APR防范功能,大部分是标识的“绑定静态IP和MAC”,但并没有任何说明是否可以防范ARP,说不定路由器上的仅仅只是绑定,但不承担任何漏洞问题。从心理学角度来讲,这个绑定不是万能的,不然它直接标识ARP防范一栏下的IP绑定了,所以我觉得还是在linux里绑一下多少可以提高对方攻击成功的门槛。这次我在家外面使用笔记本,APR让我想起了那次中间人攻击,我怀疑就是我家附近的哪个脚本小子在捣乱,由于某些原因我19年当时进入不了网关管理后台,也就无法关闭网关WiFI,为什么我觉得局域网攻击来得更厉害,因为我当时接入有线连接后杀毒软件就不报攻击了,接入路由器WiFI才会报,说明对方是通过wifi连接进而攻击的,有线连接为什么不报攻击呢,很显然有线连接加密模式对方破解不了。我听说有线连接的加密是基于网线,接口,和网卡决定的,而WiFi里的内容加密就是一串密钥,密钥的长短取决于路由器的加密模式,我这很普通,家用路由,小米的,我一直都用小米路由。而杀毒软件提示的是更换网络,说明整个系统都已经有问题了,不然它会提示某个应用有问题,而能攻击系统的中间人攻击,那很明显不像是远程IP能做到的,远程IP要攻击系统需要借助恶意软件,我当时系统起码杀了几遍毒,哪有毒,梅毒,所以远程IP在没有恶意软件支持下,最多只能攻击浏览器和应用,那很显然就只剩下局域网了。
Reply Like 0 View the author
LinuxhzxWuLiao@outlook.com deepin
2023-01-05 18:14 deepin Lwh2008-Equinox:
我主要想知道apparmor具体怎么配置?
我用的deepin自带的标准用户权限。
Reply Like 0 View the author
Lwh2008-Equinox deepin
2023-01-05 18:18 deepin LinuxhzxWuLiao@outlook.com:
我用的deepin自带的标准用户权限。
看来我以前被YaST惯坏了
Reply Like 0 View the author
安洛 deepin
2023-01-05 19:46 deepin LinuxhzxWuLiao@outlook.com:
局域网内的攻击:道高一尺魔高一丈,要是外国的那还好说,用软件屏蔽不良IP,因为那是远程的,好操作。可是局域网就没那么幸运了,局域网内对方可以做的操作比远程的更多,尤其是抓包和报文扫描,我19年遭过一次,整个网络排查了个遍,后来我开启了华为防火墙的绑定,注意,是防火墙,不是路由器,我没动路由器的IP绑定,结果无效,杀毒软件每隔几分钟报一次请更换网络,检测到中间人攻击。然而,很多路由器没有直接说明APR防范功能,大部分是标识的“绑定静态IP和MAC”,但并没有任何说明是否可以防范ARP,说不定路由器上的仅仅只是绑定,但不承担任何漏洞问题。从心理学角度来讲,这个绑定不是万能的,不然它直接标识ARP防范一栏下的IP绑定了,所以我觉得还是在linux里绑一下多少可以提高对方攻击成功的门槛。这次我在家外面使用笔记本,APR让我想起了那次中间人攻击,我怀疑就是我家附近的哪个脚本小子在捣乱,由于某些原因我19年当时进入不了网关管理后台,也就无法关闭网关WiFI,为什么我觉得局域网攻击来得更厉害,因为我当时接入有线连接后杀毒软件就不报攻击了,接入路由器WiFI才会报,说明对方是通过wifi连接进而攻击的,有线连接为什么不报攻击呢,很显然有线连接加密模式对方破解不了。我听说有线连接的加密是基于网线,接口,和网卡决定的,而WiFi里的内容加密就是一串密钥,密钥的长短取决于路由器的加密模式,我这很普通,家用路由,小米的,我一直都用小米路由。而杀毒软件提示的是更换网络,说明整个系统都已经有问题了,不然它会提示某个应用有问题,而能攻击系统的中间人攻击,那很明显不像是远程IP能做到的,远程IP要攻击系统需要借助恶意软件,我当时系统起码杀了几遍毒,哪有毒,梅毒,所以远程IP在没有恶意软件支持下,最多只能攻击浏览器和应用,那很显然就只剩下局域网了。
你也只是对路由器做了静态ip绑定,一样不能防止在访问局域网内其它设备的时候受到arp污染。这样的话,开一个ap隔离就好了。ap隔离禁止局域网内设备的互相访问,所有设备只能和路由器直接通信。
如果再进一步还可以开启VLAN管理,现在的路由器上的“访客网络”功能基本就是一个弱化版的VLAN,访客网络和主人网络内的设备不能互相访问。然后再在主人网络内开启白名单机制,只允许可信设备接入,应该就可以了。这样主人网络就既能享受到局域网的通信,又能拒绝不可信的局域网设备的攻击。(当然这个可信设备如何保证可信,就要看你的整个系统信任链如何建构了)
如果真要通过静态ip绑定防御整个局域网范围内的arp攻击,你得把局域网内所有设备的ip和mac地址都做绑定。这一来数据量会比较大,特别是你的局域网大的时候。二来很多访客连接局域网用的是动态ip,你也很难将他们一一绑定。最好的办法还是配置一个有动态arp监测功能的交换机,中转所有arp广播,审查其真实性。
Reply Like 0 View the author
安洛 deepin
2023-01-05 19:56 deepin LinuxhzxWuLiao@outlook.com:
局域网内的攻击:道高一尺魔高一丈,要是外国的那还好说,用软件屏蔽不良IP,因为那是远程的,好操作。可是局域网就没那么幸运了,局域网内对方可以做的操作比远程的更多,尤其是抓包和报文扫描,我19年遭过一次,整个网络排查了个遍,后来我开启了华为防火墙的绑定,注意,是防火墙,不是路由器,我没动路由器的IP绑定,结果无效,杀毒软件每隔几分钟报一次请更换网络,检测到中间人攻击。然而,很多路由器没有直接说明APR防范功能,大部分是标识的“绑定静态IP和MAC”,但并没有任何说明是否可以防范ARP,说不定路由器上的仅仅只是绑定,但不承担任何漏洞问题。从心理学角度来讲,这个绑定不是万能的,不然它直接标识ARP防范一栏下的IP绑定了,所以我觉得还是在linux里绑一下多少可以提高对方攻击成功的门槛。这次我在家外面使用笔记本,APR让我想起了那次中间人攻击,我怀疑就是我家附近的哪个脚本小子在捣乱,由于某些原因我19年当时进入不了网关管理后台,也就无法关闭网关WiFI,为什么我觉得局域网攻击来得更厉害,因为我当时接入有线连接后杀毒软件就不报攻击了,接入路由器WiFI才会报,说明对方是通过wifi连接进而攻击的,有线连接为什么不报攻击呢,很显然有线连接加密模式对方破解不了。我听说有线连接的加密是基于网线,接口,和网卡决定的,而WiFi里的内容加密就是一串密钥,密钥的长短取决于路由器的加密模式,我这很普通,家用路由,小米的,我一直都用小米路由。而杀毒软件提示的是更换网络,说明整个系统都已经有问题了,不然它会提示某个应用有问题,而能攻击系统的中间人攻击,那很明显不像是远程IP能做到的,远程IP要攻击系统需要借助恶意软件,我当时系统起码杀了几遍毒,哪有毒,梅毒,所以远程IP在没有恶意软件支持下,最多只能攻击浏览器和应用,那很显然就只剩下局域网了。
路由器端那个静态ip和mac绑定不是用来防arp攻击用的,那个主要是用来申请局域网内的永久静态ip。毕竟dhcp自动分配ip有个最长有效期,久了会过期,ip地址就会改变,对一些局域网服务器来说很不方便。
另外最好的办法就是管好自己的局域网,定期更换wifi密码,严格保密wifi密码,关闭wps验证这种有严重安全隐患的功能。
Reply Like 0 View the author
安洛 deepin
2023-01-05 20:10 deepin LinuxhzxWuLiao@outlook.com:
局域网内的攻击:道高一尺魔高一丈,要是外国的那还好说,用软件屏蔽不良IP,因为那是远程的,好操作。可是局域网就没那么幸运了,局域网内对方可以做的操作比远程的更多,尤其是抓包和报文扫描,我19年遭过一次,整个网络排查了个遍,后来我开启了华为防火墙的绑定,注意,是防火墙,不是路由器,我没动路由器的IP绑定,结果无效,杀毒软件每隔几分钟报一次请更换网络,检测到中间人攻击。然而,很多路由器没有直接说明APR防范功能,大部分是标识的“绑定静态IP和MAC”,但并没有任何说明是否可以防范ARP,说不定路由器上的仅仅只是绑定,但不承担任何漏洞问题。从心理学角度来讲,这个绑定不是万能的,不然它直接标识ARP防范一栏下的IP绑定了,所以我觉得还是在linux里绑一下多少可以提高对方攻击成功的门槛。这次我在家外面使用笔记本,APR让我想起了那次中间人攻击,我怀疑就是我家附近的哪个脚本小子在捣乱,由于某些原因我19年当时进入不了网关管理后台,也就无法关闭网关WiFI,为什么我觉得局域网攻击来得更厉害,因为我当时接入有线连接后杀毒软件就不报攻击了,接入路由器WiFI才会报,说明对方是通过wifi连接进而攻击的,有线连接为什么不报攻击呢,很显然有线连接加密模式对方破解不了。我听说有线连接的加密是基于网线,接口,和网卡决定的,而WiFi里的内容加密就是一串密钥,密钥的长短取决于路由器的加密模式,我这很普通,家用路由,小米的,我一直都用小米路由。而杀毒软件提示的是更换网络,说明整个系统都已经有问题了,不然它会提示某个应用有问题,而能攻击系统的中间人攻击,那很明显不像是远程IP能做到的,远程IP要攻击系统需要借助恶意软件,我当时系统起码杀了几遍毒,哪有毒,梅毒,所以远程IP在没有恶意软件支持下,最多只能攻击浏览器和应用,那很显然就只剩下局域网了。
给你看看我的华为路由器的防火墙说明,是有明说拦截arp仿冒网关的。这里应该是路由器兼职了网关的一部分功能,因为没有能力进行动态arp监测,就只是将自己的ip和mac做了表,然后防御所有仿冒自己的arp报文。
arp报文是非加密包,在网关处进行审查并不困难。你只要接入一下旁路网关抓下arp包,就能看到是哪个不识相的来攻击了。
Reply Like 1 View the author
LinuxhzxWuLiao@outlook.com deepin
2023-01-06 05:10 deepin 安洛:
给你看看我的华为路由器的防火墙说明,是有明说拦截arp仿冒网关的。这里应该是路由器兼职了网关的一部分功能,因为没有能力进行动态arp监测,就只是将自己的ip和mac做了表,然后防御所有仿冒自己的arp报文。
arp报文是非加密包,在网关处进行审查并不困难。你只要接入一下旁路网关抓下arp包,就能看到是哪个不识相的来攻击了。
谢谢,我想到类似的隔离方法,我要去尝试了。我在外面,貌似只能用这种方式查询ARP表,然后每个设备都绑一下,这样可以阻断对方ARP扫描我和其他设备的通信,进而保护我和其他设备之间的通信,但是其他设备和其他设备之间通信是无法保护的。我回家在防火墙里隔离,虽然很多年都没有了中间人攻击的报告,但我还是想用隔离的方式加强局域网的布防。至于我在家外面遇到的这个脚本小子,不是在我家,我不能去拿人家的东西,我继续想想低成本的防范,我不帮这屋里的人就没人帮了,我也不适合使用华为路由,又不能给这里安装一个华为防火墙,贵。
Reply Like 1 View the author
Please sign in first
Popular Events
More
sudo arp -s 路由器的登录地址 路由器的MAC
那是ARP绑定,大部分设备都会被ARP攻击,不是因为他新鲜,而是他门槛低,绑一下好。绑定成功就是右下角的终端,绑定不成功是右上角的终端,跟还没绑前一样。
另外,大部分deepin用户会有湖南那个IP,我暂没发现有什么恶意。咳咳好咳,且看且用这条命令。我要再多说一点deepin又要删我贴。重启后失效,需要重新绑定。