Linux下Mac地址綁定防范arp病毒攻擊

有時，局域網內大家突然都不可以上網，使用抓包工具可以發現有個別機器在不停的發送arp廣播包。這種情況一般都是內網的某臺機器中了arp病毒，然后這臺機器便不斷的發送欺騙包給所有機器來冒充網關，這樣其他機器就會把這個中毒的機器當作網關而把數據包發給它，而它在接到數據包后又沒有轉發數據包到真正的網關去，所以造成大家都無法上網。

一般的，arp病毒使用欺騙的手段是為了竊聽內網中所有的通信數據以達到它的某種目的。

由于一般的arp病毒在發送欺騙包時會修改自身的mac地址，這使我們在快速排查中毒機器有一定困難。但這可以通過mac與ip綁定的方式解決，即所有內網機器的ip都通與mac綁定的方式分配，這樣所有未登記的不合法mac就無法連接到內網了。

如果局域網內已經有網關欺騙而導致無法上網時，我們還可以通過在本機上綁定網關的mac地址和ip來解決欺騙問題。但此步需要一個條件，即你要知道真實的網關ip和mac地址。操作如下：

防范arp病毒攻擊方法一：(此方法對linux和windows都適用)

1，列出局域網內所有機器的mac地址,如果此步列出的路由表中網關ip 和網關mac地址與真實不符，就也證明你已經被網關欺騙了。

arp -a

2，綁定mac地址

arp -s 192.168.1.1 00:07:E9:xx:xx:xx

注意：這里192.168.1.1有可能有換成hostname，假如你的網關設置了hostname的話。

防范arp病毒攻擊方法二：(適用于linux)

1，創建一個/etc/ethers文件，比如你要綁定網關，那就在/etc/ethers里寫上：

192.168.1.1 00:07:E9:xx:xx:xx

然后執行

arp -f

操作完成你可以使用arp -a查看當前的arp緩存表，如果列表顯示正確，那么你的綁定操作已成功，如果還有綁定其它機器的話，比如ftp等，那就繼續添加記錄。

說明：此處的192.168.1.1為你的網關地址，00:07:E9:xx:xx:xx為你的網關mac地址。

注意：Linux和Widows上的MAC地址格式不同。Linux表示為：AA:AA:AA:AA:AA:AA，Windows表示為：AA-AA-AA-AA-AA-AA。

注意：每次重啟機器后需要重新綁定mac地址，你可以寫一個自動腳本后加到自啟動項目中。

另外，mac地址的綁定需要雙向的，即機器a綁定了機器b，機器b也要綁定機器a，這樣防范arp病毒攻擊才會有效。

防范arp病毒攻擊的方法有很多，本文知識介紹了比較實用的兩種，而且是針對linux和windows兩種不同系統的辦法，所以使用時一定要看清系統，對癥下藥。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]