很多时候,我们的WEB服务器被挂马,上服务器检查发现代码又正常,这种情况是arp挂马,是同网段机器伪装网关的arp攻击,通过下面方法可以查出哪台机器有问题:
使用 tcpdump 抓包:
tcpdump -qne arp
通过上面抓包,可以看到和网关相同MAC的IP就是有问题的机器
因为 arp 伪装装成网关,所以给通过网关的数据修改了,所以网页内容异常,所以其中一定有二台机器有问题。
只能让机房处理一下有问题的机器,要不在网关上绑定你的 MAC 的 ip 也行
转载请注明:LINUX服务器运维架构技术分享 » Linux被arp攻击解决办法