freebsd: May 2008 Archives

发信人: intron (内含子), 信区: FreeBSD
标 题: 对抗ARP欺骗病毒
发信站: 水木社区 (Sat May 3 13:36:21 2008), 转信

最近机房ARP欺骗病毒很猖狂。将鄙人经验总结于此，仅供参考。

在/etc/rc.local中加入两行：

arp -s 网关IP地址 网关以太网地址
sh /opt/bin/watcharp.sh &

前一行用于设置静态ARP项，以防中毒主机拦截通信。
后一行用于启动一个脚本，用于在网关以太网地址改变时，即时删去静态ARP项
并发信通知管理员，以防主机断网失控。脚本内容如下(须修改头部的参数设置
后方可使用，每行末尾都不要有多余的空格、Tab等字符)：

#!/bin/sh
#$FreeBSD: src/scripts/watcharp.sh,v 1.1 2008/05/03 05:30:10 admin Exp $

gateway="202.108.0.1"
admin_email="webmaster@website.com"
ping_trial=10
sleep_interval=10

while true; do
if ! ping -q -c $ping_trial $gateway > /dev/null 2>&1 ; then
arp -d $gateway
mail -s "★★网关的以太网地址变了★★" $admin_email << EOF
如题!!!
EOF
exit 1
fi
sleep $sleep_interval
done

--
我的实验室： http://www.intron.ac/
我的雇主： http://cfins.au.tsinghua.edu.cn/ (也由我制作)