崩溃了，linux主机受到arp攻击

sos225300

[root@server ~]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.122.0   *               255.255.255.0   U     0      0        0 virbr0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
default         bogon           0.0.0.0         UG    0      0        0 eth0
[root@server ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

pingz

ebtables http://ebtables.sourceforge.net/

不知道行不行。硬件防火墙总是最好的办法。

狱卒

如果你的Server只需要跟特定的机器通讯，你只要设置静态arp表，然后ifconfig eth0 -arp让arp表从此不再更新。

如果他同时还欺骗网关，那就是网管的事了。

ebird98

请教楼上，linux如何设置静态arp啊

acevery

Post by 狱卒;1970701
如果你的Server只需要跟特定的机器通讯，你只要设置静态arp表，然后ifconfig eth0 -arp让arp表从此不再更新。

如果他同时还欺骗网关，那就是网管的事了。

遇到这种情况我就直接刷网关上的arp cache

pingz

Post by acevery;1970807
遇到这种情况我就直接刷网关上的arp cache

还是你牛……

狱卒

Post by acevery;1970807
遇到这种情况我就直接刷网关上的arp cache

兄弟脾气很火爆啊，何必这样呢？如果是在自己的公司直接通知网管比较有效，每个人都这样只会让网关负荷越来越大。

acevery

Post by 狱卒;1970836
兄弟脾气很火爆啊，何必这样呢？如果是在自己的公司直接通知网管比较有效，每个人都这样只会让网关负荷越来越大。

嗯，这样的行为和arp病毒一样
历史上只用过1次，平时都只是用静态的mac地址列表保护在线的server而已。
用上的时候是因为已经在内部论坛上说是一个路由的ip了，请不要抢它后没有用才上的。

acevery

Post by ebird98;1970797
请教楼上，linux如何设置静态arp啊

在/etc/ethers中设置。
[code]
ddd.ddd.ddd.ddd    XX:XX:XX:XX:XX:XX
[code]