针对你遇到的路由器每日发起数十万次全网段ARP请求的问题，我来拆解分析并给出可行的解决思路：

一、是否可能由外部刺激触发？ #

ARP是二层链路层协议，正常情况下互联网的外部流量无法直接触发路由器发送ARP请求——因为路由器作为三层网关，会隔离内外网的二层广播域，外部IP流量只会被转换成对应内部设备的二层流量，不会主动发起全网段扫描。

不过有两种间接关联外部的可能性需要排查：

• 路由器固件存在远程漏洞，被外部攻击者控制，攻击者操控路由器发起ARP扫描（这种情况概率不高，但如果路由器很久没更新固件，风险会上升）
• 外部有大量针对你公网C类段的扫描流量，路由器出于异常的防御逻辑（比如误判为端口扫描攻击），主动发起ARP请求验证内部设备状态（这种情况比较少见，大部分正规路由器不会这么设计）

更多情况下，这类ARP flood是路由器自身的问题：比如固件bug、内置设备管理模块异常（反复扫描全网段更新在线设备列表）、ARP缓存机制故障导致重复查询，或者ARP防护功能配置错误。

二、缓解ARP flood的可行方案 #

1. 排查路由器内置功能 #

登录路由器管理后台，检查是否开启了「设备扫描」「ARP监控」「入侵检测」这类功能，尝试暂时关闭后观察ARP请求量是否下降。另外可以检查DHCP租期设置，若租期过短（比如几分钟），可能导致设备频繁续租间接引发ARP查询，但一般不会导致全网段扫描。

2. 升级路由器固件 #

这类无规律的ARP扫描很多是固件bug导致的，去路由器厂商官网下载最新的稳定版固件升级，大概率能解决问题——很多厂商会在后续固件中修复这类广播风暴相关的bug。

3. 限定ARP扫描范围（若支持） #

如果你的路由器支持自定义ARP扫描区间，别让它扫描整个C类段，改成你实际使用的IP范围（比如你只用了192.168.1.1-100就限定这个区间），能直接减少ARP请求的数量。

4. 配置静态ARP绑定 #

把内部固定设备（比如Linux服务器、打印机）的IP和MAC地址在路由器上做静态绑定，这样路由器就不用频繁发送ARP请求查询这些设备的MAC地址，能减少一部分请求量。不过对于DHCP动态分配的手机平板，这个方法不太适用。

5. 临时缓解服务器端压力 #

如果你的Linux服务器受到ARP flood的影响，可以延长ARP缓存的超时时间，执行命令：

sysctl -w net.ipv4.neigh.default.gc_timeout=86400

这会把ARP缓存时间设置为24小时，减少服务器自身的ARP查询次数，但这只是治标，根源还是要解决路由器的问题。

6. 更换路由器（终极方案） #

如果以上方法都无效，大概率是路由器硬件或固件的设计缺陷，考虑更换一台更稳定的商用路由器，或者刷入OpenWrt这类开源固件——这类设备的ARP行为更可控，不会出现无意义的全网段扫描。

备注：内容来源于stack exchange，提问作者SDC