linux ARP攻击处理

今天部门受到arp攻击 多说机器无法正常联网了，windows下的绑定下mac地址或者打开360arp防火墙就就ok了。我讲讲linux下的arp攻击的发现和处理吧。边学边讲，说的不对的欢迎大家指出，有更好的处理办法也请给说一声！

一、知识背景
1.什么是arp
ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范
围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网
环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应
物理地址，这组协议就是ARP协议。
2、arp工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。

以
主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地

址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络

上发送一个广播，A主机MAC地址是“主机A的MAC地址”，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址

是"主机A的MAC地址".请问IP地址为192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，

才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它

就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B

或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20
分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

3、什么是arp攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。
RARP的工作原理：
1. 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；
2. 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；
3. 如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；
4. 如果不存在，RARP服务器对此不做任何的响应；
5. 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。
6.如果在第1-3中被ARP病毒攻击，则服务器做出的反映就会被占用，源主机同样得不到RARP服务器的响应信息，此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。

二、如何判断是受到arp攻击？
知道了arp攻击是怎么回事，就很容易判断是否受到arp攻击。arp是有机器伪装成了网关的mac，所以浏览受害机器的arp缓存肯定可以发现一台或者多台机器与网关有相同的mac地址。如果真的有这种情况，就可以判断是arp攻击。具体：
chao@redcat:~$ arp -a
? (10.91.11.58) 位于 00:14:2a:44:55:72 [ether] 在 eth0
? (10.91.11.73) 位于 00:1e:ec:77:95:9d [ether] 在 eth0
? (10.91.255.254) 位于 00:14:2a:44:55:72 [ether]  在 eth0
（或者：
chao@redcat:~$ cat /proc/net/arp
IP address       HW type     Flags       HW address            Mask     Device
10.91.11.58      0x1         0x2         00:14:2a:44:55:72     *        eth0
10.91.11.73      0x1         0x2         00:1e:ec:77:95:9d     *        eth0
10.91.255.254    0x1         0x2         00:14:2a:44:55:72     *        eth0
）
看，10.91.11.58与网关有相同的mac地址（实际是10.91.11.58对寻找10.91.255.254的mac地址的广播进行相应，并且欺骗广播，说10.91.255.254的mac地址是 00:14:2a:44:55:72，于是本应发给10.91.255.254的包发给了58，正常的网络通信就受到影响了）~判断58可能中了arp攻击病毒~
我们看看网关的真实mac地址：
chao@redcat:~$ arping 10.91.255.254
WARNING: interface is ignored: Operation not permitted
ARPING 10.91.255.254 from 10.91.11.150 eth0
Unicast reply from 10.91.255.254 [00:D0:03:C5:9B:FC]  3.525ms
Unicast reply from 10.91.255.254 [00:D0:03:C5:9B:FC]  0.878ms
Unicast reply from 10.91.255.254 [00:14:2A:44:55:72]  59.480ms
Unicast reply from 10.91.255.254 [00:14:2A:44:55:72]  59.660ms
Unicast reply from 10.91.255.254 [00:14:2A:44:55:72]  51.857ms
Unicast reply from 10.91.255.254 [00:14:2A:44:55:72]  56.920ms
Unicast reply from 10.91.255.254 [00:14:2A:44:55:72]  54.042ms
Unicast reply from 10.91.255.254 [00:14:2A:44:55:72]  55.230ms
^CSent 18 probes (1 broadcast(s))
Received 8 response(s)
看，我们受到的响应中有网关正确的响应（第一行），也有其他主机的arp欺骗响应（第三行后面都是~）

三：解决：arp绑定
1.首先，清空arp缓存。
#arp -d 网关ip

2.找到网关真实mac地址。
#arping 网关ip

3.绑定mac地址
#arp -s 网关ip 网关真实mac

如果是暂时性arp欺骗攻击至此即可，如果网络中常有此问题，继续以下：
4、如下命令建立 /ect/ip-mac 文件
echo '网关IP地址 网关MAC地址' >/ect/ip-mac
通过下面的命令查看文件是否写的正确
more /ect/ip-mac

5、arp -f /ect/ip-mac 加载静态绑定arp记录。

6、如果想开机自动绑定

echo 'arp -f /ect/ip-mac' >> /etc/rc.d/rc.local