ARP欺骗与泛洪

常见的ARP攻击主要有两种，一种是ARP欺骗，攻击者通过发送伪造的ARP报文，恶意修改网关或网络内其他主机的ARP表项，造成用户或网络的报文转发异常。另一种是ARP泛洪攻击，也叫拒绝服务攻击(Denial of Service)，攻击者向设备发送大量目的IP地址无法解析的伪造ARP请求报文或免费报文，造成设备上的ARP表项溢出，无法缓存正常用户的ARP表项，从而影响正常的报文转发。

这两种ARP攻击会导致：

☉造成网络不稳定，引发用户无法上网或者企业断网导致重大生产事故。

☉非法获取游戏、网银、文件服务等系统的帐号和口令，给被攻击者造成利益上的重大损失。

通过对ARP报文进行有效性检查和速率限制等处理，达到弥补ARP协议的缺陷，防范针对ARP协议的攻击和网段扫描攻击等基于ARP协议的攻击，保证网络设备和网络通信的安全性。

攻击类型

防攻击策略 功能说明 ARP欺骗 配置ARP报文有效性检查 设备收到ARP报文时，对以太报文头中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址进行一致性检查。如果以太报文头中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致，则直接丢弃该ARP报文。否则允许该ARP报文通过。 ARP泛洪 禁止接口学习ARP表项的功能 出于安全或管理上的考虑，用户禁止指定接口学习ARP表项的功能，可以有效防止ARP表项溢出，保证ARP表项的安全性。 配置ARP表项严格学习 设备仅学习自己发送的ARP请求报文的应答报文，并不学习其它设备向路由器发送的ARP请求报文，即可以拒绝掉大部分的ARP请求报文攻击。 配置ARP表项限制 设备基于接口限制学习ARP表项的总数目，可以有效的防止ARP表项溢出，保证ARP表项的安全性。 配置ARP报文限速 设备对ARP报文进行数量统计，在一定时间内，如果ARP报文数量超出了配置的阈值，超出部分的ARP报文将被忽略，设备不作任何处理，有效防止ARP表项溢出。