又遇arp欺骗攻击

这两天在调整网络，调整后没过2天发现网络时断时续的，一天基本要掉线十几次，刚开始一直以为是流量过大导致路由器的负载能力出现的问题，后来换成bsd网关后故障依然存在。随后在网络上查了些资料才发现可能网络中有机器中了arp病毒了,故障现象掉线后隔十几秒后网络会重新连接，断线过程中无法ping通网关.

故障现象可以看我附件1中的图

网关192.168.1.1的MAC地址刚开始还是00:14:2a:06:94:6c   被病毒攻击后

网关192.168.1.1的MAC就变成了00:0f:e2:18:98:ed这时候网络就断掉了

10几秒后网关的mac又恢复成了00:14:2a:06:94:6c  网络也就恢复了正常

解决办法：（因我的网关是bsd的）

网关机器关闭ARP动态刷新的过程，使用静态路由

关闭方法建立/etc/ethers文件，内容包括192.168.1.2   00-14-2a-06-94-6c（中间用tab键）

然后arp -f  /etc/ethers执行下

编辑个脚本包含arp -f /etc/ethers命令放在启动项里，开机运行下就可以了

还有就是把网关ip改称192.168.1.2

有些默认程序是自动攻击本网段的.1地址的这样也可以起到保护网关的作用

关于详细的原理性东西请看我转贴的2篇文章<局域网内如何防止ARP欺骗 >和<ARP病毒问题的处理 >

补充一点：原本以为按照上述方法就可以解决问题了，实际上必须要找到攻击源，不然网络无安宁之日

查找攻击源的方法可以在freebsd的/var/log 下的messages 和dmesg.today 的日志里有详细的mac变更纪录

附上我机器上的日志和一个小工具，可以搜索到本网段中设备ip和mac对应关系以及抓包，具体功能自己体会吧