静态ARP绑定需持久化并配合内核防护:用arp -s或ip neigh add添加PERM条目,写入/etc/ethers+arp -f或systemd服务实现开机加载,同时启用rp_filter、arp_ignore、arp_announce内核参数并持久化。
直接用 sudo arp -s 就能绑定,但只管当前会话;真要防住ARP欺骗,必须让绑定在重启后依然有效,且得配合内核防护和验证机制。
用 arp -s 添加静态ARP条目
这是最基础的操作,命令格式固定:sudo arp -s 。比如把网关 192.168.1.1 和真实MAC 00:1a:2b:3c:4d:5e 绑死:
sudo arp -s 192.168.1.1 00:1a:2b:3c:4d:5e
执行后立刻生效,但注意:
-
arp -s添加的条目在arp -n输出中带PERM标记,不是C(缓存)或INCOMPLETE - 该命令不校验MAC是否真实存在,输错就绑错,后续通信可能中断
- 系统重启、网络服务重载(如
systemctl restart networking)都会清空它 - 不能跨网卡自动适配,
arp -s默认作用于第一个可用接口,多网卡环境建议显式指定设备:用ip neigh add更可控
让静态ARP绑定开机自动加载
靠手动执行 arp -s 没法防住重启后的窗口期,必须持久化。推荐两种方式:
What-the-Diff
检查请求差异,自动生成更改描述
下载
- 写入
/etc/ethers文件 +arp -f加载:
创建/etc/ethers,内容为每行一个对,例如:192.168.1.1 00:1a:2b:3c:4d:5e
然后运行
sudo arp -f加载。但要注意:arp -f不指定设备,会尝试所有接口,若某IP在多个子网中存在,可能绑定到错误网卡 - 用 systemd 服务启动脚本(更可靠):
创建/usr/local/bin/configure-static-arp.sh,内容包含明确的arp -s或更稳妥的ip neigh add命令,并指定dev参数;
再配一个static-arp.service,确保它在network-online.target之后运行;
这样能避开网络未就绪时执行失败的问题
验证绑定是否真正生效且抗干扰
别只信 arp -n 显示了 PERM 就以为万事大吉。实际攻击场景下,还要确认三点:
- 运行
ip neigh show,检查对应条目是否含PERMANENT字样,且dev字段与你预期的网卡一致(如eth0) - 主动触发一次ARP请求:执行
arping -c 2 -I eth0 192.168.1.1,看返回的MAC是否和你绑定的一致;如果返回的是别的MAC,说明绑定被绕过或没生效 - 模拟欺骗测试:用另一台机器发伪造ARP响应(如
arpspoof -i eth0 -t 192.168.1.1 192.168.1.100),再查arp -n | grep 192.168.1.1—— 正常情况下MAC不应变化
必须同步开启的内核级防护
光靠静态绑定,只是“堵漏洞”,不开内核防护,攻击者仍可能通过其他路径污染邻居表。这几个参数几乎必开:
-
rp_filter:反向路径过滤,防止IP源地址伪造包进入:echo 1 | sudo tee /proc/sys/net/ipv4/conf/all/rp_filter -
arp_ignore:控制本机对ARP请求的响应行为,设为2表示“只响应目标IP是本机地址的ARP请求”:echo 2 | sudo tee /proc/sys/net/ipv4/conf/all/arp_ignore -
arp_announce:限制ARP通告时使用的源IP,避免多网卡环境下从错误接口应答:echo 2 | sudo tee /proc/sys/net/ipv4/conf/all/arp_announce
这些设置必须写入 /etc/sysctl.conf 并执行 sudo sysctl -p 持久化,否则重启失效。单靠 arp -s 绑定,而忽略这三项,等于门锁好了却留着窗户没关。