Linux下防御ARP病毒攻击

Linux下防御ARP病毒攻击的类似文章网络上太多了，但效果各有千秋，这里写下我自己的心得。

方法一：

此法比较简单，简言之就是绑定网关的IP和MAC，命令如下：

$ sudo arp -s 192.168.1.1 00:14:78:BB:89:E2
前者是网关IP，后者是网关MAC，可能还需要

$ sudo ifconfig eth0 -arp
但我的archlinux如果执行这一步，将导致断网，因此我将它省掉了，没发现什么问题。

这个方法虽然简单，但有其局限性，就是必须双向绑定IP-MAC，如果你无法控制路由器，不能在网关那里设置静态IP，这个方法就无效了。

方法二：

这个方法复杂一点，需要用到arpspoof，它属于dsniff，所以先安装dsniff。

默认的arpspoof每秒执行一次，显然对付不了arp攻击，所以要修改源代码，自己重新编译arpspoof，有补丁如下：（论坛里找到的，出处忘记了）

#! /bin/sh /usr/share/dpatch/dpatch-run
diff -urNad dsniff-2.4b1+debianold/arpspoof.c dsniff-2.4b1+debian/arpspoof.c
--- dsniff-2.4b1+debianold/arpspoof.c   2001-03-15 16:32:58.000000000 +0800
+++ dsniff-2.4b1+debian/arpspoof.c   2008-02-24 20:30:11.000000000 +0800
@@ -31,6 +31,7 @@
 static struct ether_addr spoof_mac, target_mac;
 static in_addr_t spoof_ip, target_ip;
 static char *intf;
+static useconds_t interval; /* time interval, add by AutumnCat */
 
 static void
 usage(void)
@@ -156,9 +157,15 @@
   
    intf = NULL;
    spoof_ip = target_ip = 0;
+        interval = 1000000UL;
   
-   while ((c = getopt(argc, argv, "i:t:h?V")) != -1) {
+   while ((c = getopt(argc, argv, "x:i:t:h?V")) != -1) {
       switch (c) {
+                case 'x':
+                        interval = (useconds_t)atoi(optarg);
+                        if (interval < 1000UL)
+                                interval = 1000000UL;
+                        break;
       case 'i':
          intf = optarg;
          break;
@@ -197,7 +204,8 @@
       arp_send(llif, intf, ARPOP_REPLY, NULL, spoof_ip,
           (target_ip ? (u_char *)&target_mac : NULL),
           target_ip);
-      sleep(2);
+   /*   sleep(2); */
+                usleep(interval);
    }
    /* NOTREACHED */
打好补丁后编译出来的arpspoof多了一个参数x，用法如下：

$ arpspoof -i eth0 -t 网关IP 你的IP -x 50000
“-x 50000”的意思是每隔50000毫秒执行一次，也就是每秒执行20次

这个方法似乎有点暴力，以暴治暴，所以每秒执行次数不能太多，否则路由器会挂掉的。

译好的arpspoof