linux如何防止arp攻击

Linux 中，可通过设置静态 ARP 表项、开启 ARP 包过滤及

以下是关于在Linux系统中防止ARP攻击的详细内容：

ARP攻击原理及危害

攻击类型	原理描述	危害示例
ARP欺骗（ARP Spoofing）	攻击者发送虚假的ARP响应，使得目标设备将攻击者的MAC地址与某个IP地址关联起来，攻击者伪造网关的ARP响应，让内网主机认为攻击者的MAC地址是网关的MAC地址，从而将所有发往网关的数据发送给攻击者。	中间人攻击，截获并篡改两个设备之间的通信，窃取敏感信息，如用户名、密码等。
ARP洪泛（ARP Flood）	攻击者向网络中发送大量的ARP请求，耗尽交换机的资源，导致正常通信受阻。	造成网络设备过载，使正常的网络流量无法得到处理，导致网络瘫痪，影响业务的正常开展。

查看网关信息
- 在终端中执行arp -a命令，可查看当前网络中的ARP表，获取网关的IP地址和对应的MAC地址，执行该命令后可能会看到类似? (192.168.1.1) at 00:16:3e:48:9c:63 [ether] on eth0的信息，其中168.1.1是网关IP，00:16:3e:48:9c:63是网关MAC。
手动绑定
- 使用echo "网关IP 网关MAC" > /etc/safe命令，将网关的IP地址和MAC地址绑定到一起，并将信息保存到/etc/safe文件中，若网关IP为168.1.1，MAC为00:16:3e:48:9c:63，则执行echo "192.168.1.1 00:16:3e:48:9c:63" > /etc/safe。
- 然后执行arp -f /etc/safe命令，使绑定生效，再次执行arp -a命令检查，若句尾多了一个:PERM,则表示手动绑定成功。
批量绑定（适用于局域网内多台设备）
- 可以使用脚本来批量获取局域网内设备的IP和MAC地址，并进行绑定，通过nmap -sP 192.168.1.0/24扫描整个子网，获取所有设备的IP和MAC地址信息，然后将这些信息整理成ip mac的格式，保存到/etc/ethers文件中。
- 编辑/etc/rc.d/rc.local文件，在文件最后添加一行arp -f，使得系统启动时自动按照/etc/ethers文件中的内容进行ARP绑定。

安装arpwatch
- 在Debian或Ubuntu系统中，使用sudo apt-get update和sudo apt-get install arpwatch命令安装arpwatch。
配置arpwatch
- 编辑arpwatch的配置文件（通常位于/etc/arpwatch/arp.dat），指定要监控的网络接口和日志文件的位置，配置为监控eth0接口，日志保存到/var/log/arpwatch/eth0.log，则在配置文件中添加interface: eth0, /var/log/arpwatch/eth0.log。
启动和查看日志
- 使用sudo service arpwatch start或sudo systemctl start arpwatch命令启动arpwatch服务。
- 使用sudo tail -f /var/log/arpwatch/eth0.log命令实时查看arpwatch日志，通过分析日志中ARP表的变化,发现潜在的ARP攻击。

安装ebtables
- 在Debian或Ubuntu系统中，使用sudo apt-get install ebtables命令安装ebtables。
设置防火墙规则
- 使用sudo ebtables -A FORWARD -p ARP --arp-op Request --arp-src-ip ! 192.168.1.0/24 -j DROP命令，可以阻止源IP地址不在168.1.0/24子网内的ARP请求,防止外部非法设备发起的ARP攻击。