Ubuntu(通用)—网络加固—ufw+防DNS污染+ARP绑定

1. ufw

sudo ufw default deny incoming
sudo ufw deny in from any to any
# sudo ufw allow from any to any port 5353 protocol udp
sudo ufw enable		# 启动+开机自启
# sudo ufw reload 更改后的操作

2. 防ARP欺骗

华为云教程

  1. arp -d删除dns记录
  2. arp -a显示arp表
    在这里插入图片描述
  3. ipconfig/ifconfig寻找无线局域网本机ip
    在这里插入图片描述
  4. arp -s ip_addr ethr_addr绑定arp服务器(网关)物理地址,
    但win11验证失效
    在这里插入图片描述
  • 与ipconfig对比,第一个是无限局域网,后两个是以太网,224.0.0.22是多播IP地址,用于多播组管理信息协议(IGMP)的查询报文发送。它被用于IPv4网络中的一种特殊地址,用于在多播组中发送管理和控制信息。
  • 224.0.0.22是多播IP地址,用于多播组管理信息协议(IGMP)的查询报文发送。它被用于IPv4网络中的一种特殊地址,用于在多播组中发送管理和控制信息。
  • 224.0.0.251是多播IP地址,用于mDNS(Multicast DNS)协议的组播通信。mDNS是一种用于在局域网中实现主机名解析和服务发现的协议,常用于实现Zeroconf(Zero Configuration Networking)功能。通过发送和接收mDNS报文,设备可以通过局域网中的主机名进行互相通信和发现。
  • 224.0.0.252是多播IP地址,用于Link-local Multicast Name Resolution(LLMNR)协议的组播通信。LLMNR是一种用于在局域网内实现主机名解析的协议。它允许设备通过发送和接收LLMNR报文来解析其他设备的主机名,而无需使用DNS服务器。LLMNR主要用于在没有DNS服务器的环境中进行主机名解析。
  • 239.255.255.250是多播IP地址,用于Simple Service Discovery Protocol(SSDP)的广播通信。SSDP是用于在局域网中发现设备和服务的协议,常用于发现网络中的UPnP设备和服务。

ubuntu执行

在这里插入图片描述1. 查询当前arp 表
2. 删除IP对应的arp表项,用man获取其用法
在这里插入图片描述相关命令:
在这里插入图片描述3. 获取当前的arp表(如果arp攻击停止)
4. 绑定``arp -s ip_addr ether_addr```
5. 再次显示,可以看到局域网网关192.168.124.1的mac变为永久(permanent)

3. 防DNS污染

DNS协议,把域名解析成ip地址,udp,这个过程会暴露访问的域名,
对这一传输过程加密(传输层用tcp)即为DoH(DNS over HTTPS)。

Browser(firefox)加固

由于Cloudflare、Quad8的DoH服务器不能用(lack ladder),国内一般用aliyun。
在Firefox的设置tab,更改DoH服务商,
在这里插入图片描述
DoH API可以是如下两种:

https://dns.alidns.com/dns-query	
# 不建议使用,因为dns.alidn.com可能被污染
https://223.6.6.6/dns-query
https://alidns_ip/dns-query		
# 这里alidns_ip = 223.5.5.5 or 223.6.6.6 or 2400:3200::1 or 2400:3200:baba::1 
https://1.1.1.1/dns-query
https://9.9.9.9/dns-query

Wifi默认dns加固

aliyun公共DNS

  • IPv4地址:223.5.5.5, 223.6.6.6
  • IPv6地址:2400:3200::1, 2400:3200:baba::1
  • DoH/DoT地址: dns.alidns.com

实践见笔者文章

Global配置 :

nano /etc/systemd/resolved.conf
替换为如下文本:

[Resolve]
DNS=1.1.1.1 
FallbackDNS=9.9.9.9
#Domains=
DNSSEC=allow-downgrade
DNSOverTLS=opportunistic
#MulticastDNS=no
#LLMNR=no
Cache=no-negative
#CacheFromLocalhost=no
DNSStubListener=yes
#DNSStubListenerExtra=
ReadEtcHosts=yes
#ResolveUnicastSingleLabel=no

重载、开机自启

systemctl restart systemd-resolved #重置DNS服务
systemctl enable systemd-resolved 	#开机自启动

Current接口配置

nano /etc/resolv.conf
替换为如下文本:

nameserver 1.1.1.1
nameserver 223.5.5.5
nameserver 223.6.6.6
# Too many DNS servers configured, the following entries may be ignored.
nameserver 2400:3200::1
nameserver 2400:3200:baba::1
search .

4. 换USTC源

sudo nano /etc/apt/sources.list

贴入下述代码

# 默认注释了源码仓库,如有需要可自行取消注释
deb https://mirrors.ustc.edu.cn/ubuntu/ noble main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble main restricted universe multiversedeb https://mirrors.ustc.edu.cn/ubuntu/ noble-security main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-security main restricted universe multiversedeb https://mirrors.ustc.edu.cn/ubuntu/ noble-updates main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-updates main restricted universe multiversedeb https://mirrors.ustc.edu.cn/ubuntu/ noble-backports main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-backports main restricted universe multiverse# 预发布软件源,不建议启用
# deb https://mirrors.ustc.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse

更新

sudo apt update

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/366063.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

拆分盘投资策略解析:机制、案例与风险考量

一、引言 随着互联网技术的迅猛发展和金融市场的不断创新,拆分盘这一投资模式逐渐崭露头角,成为投资者关注的焦点。它基于特定的拆分策略,通过调整投资者持有的份额和单价,实现了看似稳健的资产增长。本文旨在深入探讨拆分盘的运…

MySQL-数据操作类型的角度理解 S锁 X锁

文章目录 1、S锁和S锁互相兼容2、S锁和X锁互斥3、X锁和X锁也互斥4、X锁和S锁也互斥5、select * from account for update;6、select * from account for update nowait;7、select * from account for update skip locked; 1、S锁和S锁互相兼容 2、S锁和X锁互斥 3、X锁和X锁也互…

在线疫苗预约小程序的设计

管理员账户功能包括:系统首页,个人中心,工作人员管理,管理员管理,用户管理,疫苗管理,论坛管理,公告管理 微信端账号功能包括:系统首页,公告,疫苗…

K 近邻、K-NN 算法图文详解

1. 为什么学习KNN算法 KNN是监督学习分类算法,主要解决现实生活中分类问题。根据目标的不同将监督学习任务分为了分类学习及回归预测问题。 KNN(K-Nearest Neihbor,KNN)K近邻是机器学习算法中理论最简单,最好理解的算法…

【Android面试八股文】性能优化相关面试题: 什么是内存抖动?什么是内存泄漏?

文章目录 一、什么是内存抖动?内存抖动的问题卡顿OOM(Out Of Memory)二、什么是内存泄漏(Memory Leak)?引用计数法可达性分析法一、什么是内存抖动? 在Java中,每创建一个对象,就会申请一块内存,存储对象信息; 每分配一块内存,程序的可用内存也就少一块; 当程序…

(1)Jupyter Notebook 下载及安装

目录 1. Jupyter Notebook是什么?2. Jupyter Notebook特征3. 应用3. 利用Google Colab安装Jupyter Notebook3.1 什么是 Colab?3.2 访问 Google Colab 1. Jupyter Notebook是什么? 百度百科: Jupyter Notebook(此前被称为 IPython …

C语言部分复习笔记

1. 指针和数组 数组指针 和 指针数组 int* p1[10]; // 指针数组int (*p2)[10]; // 数组指针 因为 [] 的优先级比 * 高,p先和 [] 结合说明p是一个数组,p先和*结合说明p是一个指针 括号保证p先和*结合,说明p是一个指针变量,然后指…

R语言 | 使用ggplot绘制柱状图,在柱子中显示数值和显著性

原文链接:使用ggplot绘制柱状图,在柱子中显示数值和显著性 本期教程 获得本期教程示例数据,后台回复关键词:20240628。(PS:在社群中,可获得往期和未来教程所有数据和代码) 往期教程…

Windows宝塔面板部署ThinkPHP8.0创建Vue项目案例

安装ThinkPHP8.0 登录宝塔面板,创建一个站点。 输入composer代码,执行完成后自动创建TP目录 composer create-project topthink/think tp 网站目录设置为tp,运行目录设置为public 设置PHP版本为8.0以上,不然会出现下面的报错代…

1-5题查询 - 高频 SQL 50 题基础版

目录 1. 相关知识点2. 例题2.1.可回收且低脂的产品2.2.寻找用户推荐人2.3.大的国家2.4. 文章浏览 I2.5. 无效的推文 1. 相关知识点 sql判断,不包含null,判断不出来distinct是通过查询的结果来去除重复记录ASC升序计算字符长度 CHAR_LENGTH() 或 LENGTH(…

js实现blockly后台解释器,可以单步执行,可以调用c/c++函数

实现原理 解析blockly语法树,使用js管理状态,实际使用lua执行,c/c函数调用使用lua调用c/c函数的能力 可以单行执行 已实现if功能 TODO for循环功能 函数功能 单步执行效果图 直接执行效果图 源代码 //0 暂停 1 单步执行 2 断点 //创建…

[无广告!纯干货]免费用CodeFlying自动化生成一个专属的AI机器人

前言: 真心话,花3分钟看文章,再花5分钟体验,你会回来给我点赞的。 随着AIGC(人工智能生成内容)行业的迅猛发展,人工智能正在以前所未有的速度和方式改变我们的生活。 它不仅在娱乐、教育、医疗…

[数据集][目标检测]游泳者溺水检测数据集VOC+YOLO格式8275张4类别

数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):8275 标注数量(xml文件个数):8275 标注数量(txt文件个数):8275 标注…

汇聚荣拼多多电商好不好?

拼多多电商好不好?这是一个值得探讨的问题。拼多多作为中国领先的电商平台之一,以其独特的商业模式和创新的营销策略吸引了大量用户。然而,对于这个问题的回答并不是简单的好或不好,而是需要从多个方面进行综合分析。 一、商品质量 来看拼多…

ONLYOFFICE:开启高效办公新时代的全能利器

ONLYOFFICE官网链接:在线办公套件 | ONLYOFFICE 在线PDF查看器和转换器 | ONLYOFFICE 在数字化办公日益普及的今天,一款高效、易用、功能强大的办公软件成为了企业和个人不可或缺的得力助手。而ONLYOFFICE,正是这样一款集多种功能于一身的优…

Spring系统学习 - 基于注解管理Bean

什么是基于注解的方式管理Bean 在 Spring 框架中,基于注解的方式管理 Bean 是一种非常流行且现代的方法。它允许你通过在类、方法或字段上添加特定的注解来声明 Bean 的创建和依赖注入,从而避免了在 XML 配置文件中定义 Bean 的繁琐工作。 注解和 XML …

Linux开发讲课29---Linux USB 设备驱动模型

Linux 内核源码:include\linux\usb.h Linux 内核源码:drivers\hid\usbhid\usbmouse.c 1. BUS/DEV/DRV 模型 "USB 接口"是逻辑上的 USB 设备,编写的 usb_driver 驱动程序,支持的是"USB 接口": US…

Linux:系统安全及应用

目录 一、系统账号管理 1.1、系统账号清理 1.2、密码安全控制 1.3、命令历史限制 二、限制su命令用户 三、PAM安全认证 四、sudo机制提升权限 4.1、sudo机制介绍 4.2、用户别名案例 4.3、启用sudo操作日志 4.4、其他案列sudo 4.5、开关机安全控制 4.6、限制更改GR…

无线物联网练习题

文章目录 选择填空简答大题 选择 不属于物联网感知技术的是(A) A:ZigBee B:红外传感器 C:FRID D:传感器 ZigBee是一种无线通信技术,虽然它常用于物联网中作为设备之间的通信手段,但它本身并不是一种感知技术 关于物联网于与互联网的区别的描述&#xff…

昇思第6天

函数式自动微分 神经网络的训练主要使用反向传播算法,模型预测值(logits)与正确标签(label)送入损失函数(loss function)获得loss,然后进行反向传播计算,求得梯度&#…