Ubuntu(通用)—网络加固—ufw+防DNS污染+ARP绑定

1. ufw

sudo ufw default deny incoming
sudo ufw deny in from any to any
# sudo ufw allow from any to any port 5353 protocol udp
sudo ufw enable		# 启动+开机自启
# sudo ufw reload 更改后的操作

2. 防ARP欺骗

华为云教程

1. arp -d删除dns记录
2. arp -a显示arp表
   
3. ipconfig/ifconfig寻找无线局域网本机ip
   
4. arp -s ip_addr ethr_addr绑定arp服务器(网关)物理地址，
   但win11验证失效
   

• 与ipconfig对比，第一个是无限局域网，后两个是以太网，224.0.0.22是多播IP地址，用于多播组管理信息协议（IGMP）的查询报文发送。它被用于IPv4网络中的一种特殊地址，用于在多播组中发送管理和控制信息。
• 224.0.0.22是多播IP地址，用于多播组管理信息协议（IGMP）的查询报文发送。它被用于IPv4网络中的一种特殊地址，用于在多播组中发送管理和控制信息。
• 224.0.0.251是多播IP地址，用于mDNS（Multicast DNS）协议的组播通信。mDNS是一种用于在局域网中实现主机名解析和服务发现的协议，常用于实现Zeroconf（Zero Configuration Networking）功能。通过发送和接收mDNS报文，设备可以通过局域网中的主机名进行互相通信和发现。
• 224.0.0.252是多播IP地址，用于Link-local Multicast Name Resolution（LLMNR）协议的组播通信。LLMNR是一种用于在局域网内实现主机名解析的协议。它允许设备通过发送和接收LLMNR报文来解析其他设备的主机名，而无需使用DNS服务器。LLMNR主要用于在没有DNS服务器的环境中进行主机名解析。
• 239.255.255.250是多播IP地址，用于Simple Service Discovery Protocol（SSDP）的广播通信。SSDP是用于在局域网中发现设备和服务的协议，常用于发现网络中的UPnP设备和服务。

ubuntu执行

1. 查询当前arp 表

2. 删除IP对应的arp表项，用man获取其用法
   相关命令：
   3. 获取当前的arp表(如果arp攻击停止)

3. 绑定``arp -s ip_addr ether_addr```

4. 再次显示，可以看到局域网网关192.168.124.1的mac变为永久(permanent)，

5. 但重启后仍然失效，需要加入开机启动项，

chmod 755 /etc/rc.d/rc.local

nano，添加命令

arp -i net_device -s ip_addr ether_addr

chmod 555 /etc/rc.d/rc.local

恢复权限

3. 防DNS污染

DNS协议，把域名解析成ip地址，udp，这个过程会暴露访问的域名，

对这一传输过程加密（传输层用tcp）即为DoH(DNS over HTTPS)。

Browser(firefox)加固

由于Cloudflare、Quad8的DoH服务器不能用（lack ladder)，国内一般用aliyun。

在Firefox的设置tab，更改DoH服务商，

DoH API可以是如下两种：

https://dns.alidns.com/dns-query	
# 不建议使用，因为dns.alidn.com可能被污染
https://223.6.6.6/dns-query
https://alidns_ip/dns-query		
# 这里alidns_ip = 223.5.5.5 or 223.6.6.6 or 2400:3200::1 or 2400:3200:baba::1 
https://1.1.1.1/dns-query
https://9.9.9.9/dns-query

Wifi默认dns加固

aliyun公共DNS

• IPv4地址：223.5.5.5, 223.6.6.6
• IPv6地址：2400:3200::1, 2400:3200:baba::1
• DoH/DoT地址: dns.alidns.com

实践见笔者文章

Global配置 :

nano /etc/systemd/resolved.conf

替换为如下文本：

[Resolve]
DNS=1.1.1.1 
FallbackDNS=9.9.9.9
#Domains=
DNSSEC=allow-downgrade
DNSOverTLS=opportunistic
#MulticastDNS=no
#LLMNR=no
Cache=no-negative
#CacheFromLocalhost=no
DNSStubListener=yes
#DNSStubListenerExtra=
ReadEtcHosts=yes
#ResolveUnicastSingleLabel=no

重载、开机自启

systemctl restart systemd-resolved #重置DNS服务
systemctl enable systemd-resolved 	#开机自启动

Current接口配置

nano /etc/resolv.conf

替换为如下文本：

nameserver 1.1.1.1
nameserver 223.5.5.5
nameserver 223.6.6.6
# Too many DNS servers configured, the following entries may be ignored.
nameserver 2400:3200::1
nameserver 2400:3200:baba::1
search .

4. 换USTC源

sudo nano /etc/apt/sources.list

贴入下述代码

# 默认注释了源码仓库，如有需要可自行取消注释
deb https://mirrors.ustc.edu.cn/ubuntu/ noble main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble main restricted universe multiverse

deb https://mirrors.ustc.edu.cn/ubuntu/ noble-security main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-security main restricted universe multiverse

deb https://mirrors.ustc.edu.cn/ubuntu/ noble-updates main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-updates main restricted universe multiverse

deb https://mirrors.ustc.edu.cn/ubuntu/ noble-backports main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-backports main restricted universe multiverse

# 预发布软件源，不建议启用
# deb https://mirrors.ustc.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse

更新

sudo apt update

不得不吐槽，东大很多名校研究安全萌新～