防止ARP欺骗

前言：

曾经因为宿舍里面的同学经常熬夜打游戏，好言相劝不管用，无奈之下使用arp欺骗他们的主机，使之晚上11点之后游戏延迟，掉线，最后，一到11点同学们就都上床睡觉了。

防止arp欺骗的三种思路：

1. 在主机上静态绑定mac地址

2. 在主机上arp防火墙

3. 利用交换机的防arp欺骗技术，比如DAI

在主机上绑定MAC地址

在windows主机上静态绑定mac地址：

在linux主机上静态绑定mac地址：

在路由器上做MAC绑定：

在linux主机上利用arptable防火墙防止arp欺骗（windows上的360或者安全管家都有防arp欺骗的功能）

 第一种方法在终端和网关上做mac与IP地址绑定，而第二种方法就是说白了其实还是基于mac和Ip，只不过与第一种实现的方法不一样，第二种方法是通过防火墙软件：arptalbes

arptables防火墙是开源的，类似于iptables，免费下载，可以实现在linux系统下的防止arp欺骗

在安装arpiptables之前要先安装gcc才行

下载地址：http://sourceforge.net/projects/ebtables/files/arptables

tar xzf arptables-v0.0.4.tar.gz –C /usr/src

./configure  产生一个makefile文件

make

make install

在arptables上添加规则：

arptables -A INPUT --src-ip 192.168.80.200 ! --src-mac 01:00:5e:00:00:16 -j DROP

添加规则的意思就是把网关与其真正的mac地址做匹配，如果在入站方向匹配不上就丢包，这就是使用arptables来防止arp欺骗。

note;

1. 在iptables当中的命令在这里依然有有效的，比如,查看规则：arptables –L –n
2. arptables –save  保存配置

原文地址：https://www.cnblogs.com/yizhangheka/p/11038605.html