有时,僵尸网络(或其他)会尝试在一秒钟内对内部网络(两个 /21 子网)中的所有 IP 进行端口扫描。结果,路由器会发出大量 ARP 请求,一些较慢的交换机会“堵塞” - 有时 LAN 内的 ping 时间会变成 4 秒,或者数据包会全部丢失。
我读到过我可以使用 arpd 来缓存负面条目(主机处于离线状态),并且每次该主机的数据包进入时都不必重新发送请求。但是,我无法使其工作。
arpd -a 5 -n 60 -R 20 -B 10 -b /var/arpd/arp.db -k eth1
抑制所有广播 ARP 请求 - 无论距离上次检查已过去多久。如果没有“eth1”选项,广播将像以前一样继续。将 /proc/sys/net/ipv4/neigh/eth1/app_solicit 设置为 3 不会改变任何内容。
发行版是 CentOS 6.4,带有自定义内核(3.7.10,支持 ipset 和 imq)。我已重新编译它以添加 CONFIG_ARPD。
答案1
事实证明我需要一个新版本的 arpd。下载并编译后,它现在运行正常。