【Linux】网络知识点——ARP 防护

什么是ARP ?

肥钦实验室，公众号：404技术实验室【Linux】网络知识点——ARP协议详解

二、常见 ARP 攻击类型

1. ARP 欺骗（ARP Spoofing）伪造网关 / 目标设备的 ARP 响应，让你把流量发给攻击者。

2. ARP 泛洪（ARP Flooding）大量发送伪造 ARP 包，占满 ARP 表，导致正常通信失败。

3. 免费 ARP 攻击不断发送免费 ARP，强制全网更新错误的 IP-MAC 映射。

三、Linux 内核 ARP 防御参数（最关键）

1. arp_ignore —— 控制 “要不要回复 ARP 请求”

sysctl -w net.ipv4.conf.all.arp_ignore=1sysctl -w net.ipv4.conf.eth0.arp_ignore=1

含义：

• 0：默认，收到任何请求本机 IP 的都回复
• 1：只回复目标 IP 是本机 IP 的请求（最常用、最安全）

2. arp_announce —— 控制 “怎么发送 ARP 请求”

sysctl -w net.ipv4.conf.all.arp_announce=2sysctl -w net.ipv4.conf.eth0.arp_announce=2

含义：

• 2：使用与目标网段最匹配的 IP 做源 IP，避免跨网段 ARP 混乱

车载 / 嵌入式推荐固定配置：

arp_ignore=1arp_announce=2

四、静态 ARP 绑定（最有效、最稳）

对网关、核心 ECU、域控制器，直接写死 IP-MAC，不允许动态覆盖。

arp  -s 192.168.1.1 aa:bb:cc:dd:ee:ff

或用 ip 命令（Linux 推荐）：

ip neigh add192.168.1.1 lladdr aa:bb:cc:dd:ee:ff dev eth0 nud permanent

查看静态条目：

arp -n# 看到 CM 标志 = 静态静态

五、禁止接受 / 发布免费 ARP（可选加固）

某些攻击靠免费 ARP强制刷新你的 ARP 表：

sysctl -wnet.ipv4.conf.all.accept_redirects=0sysctl-wnet.ipv4.conf.all.send_redirects=0sysctl-wnet.ipv4.conf.all.arp_notify=0

六、ARP 表老化时间优化

缩短过期时间，让错误条目更快消失：

sysctl -w net.ipv4.neigh.default.gc_stale_time=60sysctl -w net.ipv4.neigh.default.gc_interval=5

七、Linux 工具：arpwatch /arpalert

监听 ARP 异常，发现攻击立即告警。

apt install arpwatcharpwatch -i eth0

日志：/var/log/syslog 或 /var/log/messages

八、车载以太网 ARP 防护最佳实践

1. 网关、核心 ECU 必须静态 ARP 绑定
2. 开启内核参数：
   arp_ignore=1arp_announce=2

3. 车载交换机开启：
• DAI（动态 ARP 检测）
• 端口安全、IP+MAC 绑定
• Trunk 口限制允许的 VLAN
4. 不使用 DHCP 的设备，全部使用静态 IP + 静态 ARP

九、一条命令查看当前 ARP 攻击

arp  -n|awk'{print $1,$3}'|sort|uniq-D

如果一个 IP 对应多个 MAC → 正在被 ARP 欺骗

十、极简总结（面试）

ARP 防护核心就 3 件事：

1. 1、内核调参：arp_ignore=1、arp_announce=2
2. 2、静态绑定：关键设备 IP-MAC 写死
3. 3、交换机加固：DAI、端口安全、VLAN 隔离