Ubuntu(通用)—网络加固—ufw+防DNS污染+ARP绑定

1. ufw

sh 复制代码
sudo ufw default deny incoming
sudo ufw deny in from any to any
# sudo ufw allow from any to any port 5353 protocol udp
sudo ufw enable		# 启动+开机自启
# sudo ufw reload 更改后的操作

2. 防ARP欺骗

华为云教程

  1. arp -d删除dns记录
  2. arp -a显示arp表
  3. ipconfig/ifconfig寻找无线局域网本机ip
  4. arp -s ip_addr ethr_addr绑定arp服务器(网关)物理地址,
    但win11验证失效
  • 与ipconfig对比,第一个是无限局域网,后两个是以太网,224.0.0.22是多播IP地址,用于多播组管理信息协议(IGMP)的查询报文发送。它被用于IPv4网络中的一种特殊地址,用于在多播组中发送管理和控制信息。
  • 224.0.0.22是多播IP地址,用于多播组管理信息协议(IGMP)的查询报文发送。它被用于IPv4网络中的一种特殊地址,用于在多播组中发送管理和控制信息。
  • 224.0.0.251是多播IP地址,用于mDNS(Multicast DNS)协议的组播通信。mDNS是一种用于在局域网中实现主机名解析和服务发现的协议,常用于实现Zeroconf(Zero Configuration Networking)功能。通过发送和接收mDNS报文,设备可以通过局域网中的主机名进行互相通信和发现。
  • 224.0.0.252是多播IP地址,用于Link-local Multicast Name Resolution(LLMNR)协议的组播通信。LLMNR是一种用于在局域网内实现主机名解析的协议。它允许设备通过发送和接收LLMNR报文来解析其他设备的主机名,而无需使用DNS服务器。LLMNR主要用于在没有DNS服务器的环境中进行主机名解析。
  • 239.255.255.250是多播IP地址,用于Simple Service Discovery Protocol(SSDP)的广播通信。SSDP是用于在局域网中发现设备和服务的协议,常用于发现网络中的UPnP设备和服务。

ubuntu执行

1. 查询当前arp 表

  1. 删除IP对应的arp表项,用man获取其用法
    相关命令:
    3. 获取当前的arp表(如果arp攻击停止)

  2. 绑定``arp -s ip_addr ether_addr```

  3. 再次显示,可以看到局域网网关192.168.124.1的mac变为永久(permanent),

  4. 但重启后仍然失效,需要加入开机启动项,

sh 复制代码
chmod 755 /etc/rc.d/rc.local

nano,添加命令

sh 复制代码
arp -i net_device -s ip_addr ether_addr
sh 复制代码
chmod 555 /etc/rc.d/rc.local

恢复权限

3. 防DNS污染

DNS协议,把域名解析成ip地址,udp,这个过程会暴露访问的域名,

对这一传输过程加密(传输层用tcp)即为DoH(DNS over HTTPS)。

Browser(firefox)加固

由于Cloudflare、Quad8的DoH服务器不能用(lack ladder),国内一般用aliyun。

在Firefox的设置tab,更改DoH服务商,

DoH API可以是如下两种:

sh 复制代码
https://dns.alidns.com/dns-query	
# 不建议使用,因为dns.alidn.com可能被污染
https://223.6.6.6/dns-query
https://alidns_ip/dns-query		
# 这里alidns_ip = 223.5.5.5 or 223.6.6.6 or 2400:3200::1 or 2400:3200:baba::1 
https://1.1.1.1/dns-query
https://9.9.9.9/dns-query

Wifi默认dns加固

aliyun公共DNS

  • IPv4地址:223.5.5.5, 223.6.6.6
  • IPv6地址:2400:3200::1, 2400:3200:baba::1
  • DoH/DoT地址: dns.alidns.com

实践见笔者文章

Global配置 :

nano /etc/systemd/resolved.conf

替换为如下文本:

sh 复制代码
[Resolve]
DNS=1.1.1.1 
FallbackDNS=9.9.9.9
#Domains=
DNSSEC=allow-downgrade
DNSOverTLS=opportunistic
#MulticastDNS=no
#LLMNR=no
Cache=no-negative
#CacheFromLocalhost=no
DNSStubListener=yes
#DNSStubListenerExtra=
ReadEtcHosts=yes
#ResolveUnicastSingleLabel=no

重载、开机自启

sh 复制代码
systemctl restart systemd-resolved #重置DNS服务
systemctl enable systemd-resolved 	#开机自启动

Current接口配置

nano /etc/resolv.conf

替换为如下文本:

sh 复制代码
nameserver 1.1.1.1
nameserver 223.5.5.5
nameserver 223.6.6.6
# Too many DNS servers configured, the following entries may be ignored.
nameserver 2400:3200::1
nameserver 2400:3200:baba::1
search .

4. 换USTC源

py 复制代码
sudo nano /etc/apt/sources.list

贴入下述代码

sh 复制代码
# 默认注释了源码仓库,如有需要可自行取消注释
deb https://mirrors.ustc.edu.cn/ubuntu/ noble main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble main restricted universe multiverse

deb https://mirrors.ustc.edu.cn/ubuntu/ noble-security main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-security main restricted universe multiverse

deb https://mirrors.ustc.edu.cn/ubuntu/ noble-updates main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-updates main restricted universe multiverse

deb https://mirrors.ustc.edu.cn/ubuntu/ noble-backports main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-backports main restricted universe multiverse

# 预发布软件源,不建议启用
# deb https://mirrors.ustc.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse

更新

sh 复制代码
sudo apt update

不得不吐槽,东大很多名校研究安全萌新~

相关推荐
Two_brushes.4 分钟前
【linux网络】深入理解 TCP/UDP:从基础端口号到可靠传输机制全解析
linux·运维·服务器
FJW02081410 分钟前
【Linux】系统引导修复
linux·运维·服务器
nightunderblackcat12 分钟前
新手向:Python网络编程,搭建简易HTTP服务器
网络·python·http
慌糖29 分钟前
CentOS 安装 Redis 简明指南
linux·redis·centos
设计师小聂!39 分钟前
linux常用命令(一)
linux·运维·服务器
hnlucky1 小时前
《Nginx + 双Tomcat实战:域名解析、静态服务与反向代理、负载均衡全指南》
java·linux·服务器·前端·nginx·tomcat·web
cui_win1 小时前
【网络】Linux 内核优化实战 - net.ipv4.tcp_congestion_control
linux·网络·tcp/ip
roboko_2 小时前
TCP详解——流量控制、滑动窗口
服务器·网络·tcp/ip
笑稀了的野生俊2 小时前
ImportError: /lib/x86_64-linux-gnu/libc.so.6: version GLIBC_2.32‘ not found
linux·人工智能·ubuntu·大模型·glibc·flash-attn
千帐灯无此声2 小时前
Linux 测开:日志分析 + 定位 Bug
linux·c语言·c++·bug