各位老铁们，大家好，今天由我来为大家分享十多年资深网络工作者的经验之谈：如何在交换机上建立防ARP机制，以及的相关问题知识，希望对大家有所帮助。如果可以帮助到大家，还望关注收藏下本站，您的支持是我们最大的动力，谢谢大家了哈，下面我们开始吧！

攻击者向计算机A发送伪造的ARP响应，告诉计算机A计算机B的IP地址192.168.2.101对应的MAC地址是6c-72-e7-5f-02-ea。计算机A 相信这是真的并写下了这封信。写入自己的ARP缓存表中，以后发送数据时，将应该发送给计算机B的数据发送给攻击者。同样，攻击者也向计算机B发送伪造的ARP响应，告诉计算机B：计算机A的IP地址192.168.2.100对应的MAC地址是d8-96-95-4e-ca-a5，计算机B也会得到该数据被发送给攻击者。

此时，攻击者控制了计算机A和计算机B之间的流量。他可以选择被动监控流量并获取密码和其他机密信息，也可以伪造数据并改变计算机A和计算机B之间的通信内容。是arp攻击的一般方法。

局域网中ARP攻击该怎么办？

如果您的局域网存在ARP攻击，在排查过程中，您必须紧急先允许部分计算机访问互联网，以保证公司最低限度的运转。

Windows XP系统紧急操作： 1.开始–运行–CMD–输入命令“arp -a”； 2、静态绑定网关IP和MAC，输入命令“arp -s 192.168.2.1 2c-b2-1a-5f-87-2d”，如图：

arp -a 命令

arp -s 命令

Windows 7/Windows 10 系统紧急操作： 1. 在DOS 命令提示符下输入命令“netsh interface ipv4 show interface”，然后按Enter。检查计算机上所有网卡的idx，确定要绑定的idx。一般为11； 2、输入命令“netsh interface ipv4 set Neighbors 11 192.168.2.1 2c-b2-1a-5f-87-2d”实现静态绑定。如图所示：

查询Idx命令

Win 7静态绑定命令

今天向大家讲讲在交换机上如何防范arp攻击

1.严格学习ARP表项（arp Learning strict）

如果同一时间段内大量用户向设备发送大量ARP报文，或者攻击者伪造正常用户的ARP报文发送给设备，则会造成以下危害：

设备CPU因处理大量ARP报文而过载。同时，设备学习到大量的ARP报文，可能会导致设备的ARP表资源被无效的ARP表项耗尽，导致合法用户的ARP报文无法再生成ARP表项。这进而导致用户无法正常通信。

伪造的ARP报文会错误地更新设备的ARP表项，导致用户无法正常通信。

为了避免上述危害，可以在网关设备上部署ARP表项的严格学习功能。

严格学习ARP表项是指只有设备主动发送的ARP请求报文的响应报文才能触发设备学习ARP。其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这样就可以拒绝了。大多数ARP 消息攻击。如图所示：

正常情况下，当UserA向Gateway发送ARP请求报文时，Gateway会向UserA回复ARP应答报文，并添加或更新UserA对应的ARP表项。网关配置ARP表项严格学习功能后：

当Gateway收到UserA发送的ARP请求报文时，不会添加或更新UserA对应的ARP表项。如果请求消息请求网关的MAC地址，则网关将向UserA响应ARP应答消息。

如果Gateway向UserB发送ARP请求报文，则Gateway收到该请求对应的ARP应答报文后，会添加或更新UserB对应的ARP表项。

2.配置防止ARP中间人攻击

当网络中存在中间人攻击时，中间人伪造服务器，向客户端发送带有自己的MAC和服务器IP的消息，使客户端获知中间人的IP和MAC，从而实现伪造服务器的目的。然后，中间人向服务器发送带有自己的MAC和客户端IP的消息，让服务器获知中间人的IP和MAC，从而达到伪造客户端的目的。这使得攻击者能够获取服务器和客户端数据。

1.配置ARP报文检查功能

# 在与客户端相连的Eth0/0/1接口上使能ARP报文检测功能。

[Quidway] 接口以太网0/0/1

[Quidway-Ethernet0/0/1] arp防攻击检查用户绑定启用

[Quidway-Ethernet0/0/1] arp 防攻击检查user-bind check-item ip-address mac-address vlan

[Quidway-Ethernet0/0/1] 退出

# 在连接Attacker的Eth0/0/2接口上开启ARP报文检测功能。

[Quidway] 接口以太网0/0/2

[Quidway-Ethernet0/0/2] arp 防攻击检查user-bind 启用

[Quidway-Ethernet0/0/2] arp 防攻击检查user-bind check-item ip-address mac-address vlan

[Quidway-Ethernet0/0/2] 退出

2.配置静态绑定表项

# 配置Client为静态绑定表项。

用户评论

相知相惜

这篇文章真是太棒了！对于一个想深入学习网络安全的同学来说，掌握ARP攻击和防御方法非常重要。文中提到的方法我以前用过几次，效果确实不错

    有12位网友表示赞同！

凉笙墨染

十几年老网工的经验总结真是金玉良言啊！一直想要弄懂这个交换机上防ARP机制的事情，这篇文章讲解得详细透彻，看得出作者对技术的深入理解和实践经验!

    有7位网友表示赞同！

不忘初心

ARP攻击一直是我比较关注的技术之一。因为在实际工作中接触过几次这类攻击，给我的网络带来了不少困扰。感谢博主分享这个技术方案，让我可以参考学习

    有20位网友表示赞同！

莫失莫忘

这篇博客真的太实用了！我一直在使用的是Cisco设备，文中提到的方法能否适用于其他品牌的交换机呢？ 如果能兼容更多厂商的产品就好了。

    有19位网友表示赞同！

烟雨离殇

交换机防ARP机制确实挺重要的。之前我的网络系统也遭受过ARP攻击的困扰，导致网络无法正常工作。幸好后来找到了解决方法，不过这篇文章写的还是非常详细，很有参考价值

    有13位网友表示赞同！

素婉纤尘

虽然文章说得很好理解，但是我个人觉得在实际操作步骤上可以更详细一点，比如如何配置具体命令等，这样对于没接触过这些设置的人来说会更容易入门!

    有15位网友表示赞同！

放肆丶小侽人

我觉得这篇文章最大的问题就是没有提供具体的案例分析，仅仅讲理论知识可能不够吸引人。如果能结合真实场景来讲解，效果会更好！

    有9位网友表示赞同！

来自火星球的我

文中提到的ARP Proxy功能听起来很强大，希望能详细介绍一下它的工作原理和优缺点，这样我才能更好地理解它的应用场景!

    有7位网友表示赞同！

海盟山誓总是赊

交换机防攻击的知识点比较多，这篇文章只是触及了其中的一部分我觉得可以延伸更多内容，比如其他的安全策略等等!

    有18位网友表示赞同！

涐们的幸福像流星丶

ARP攻击确实是个威胁，但文中提到的方法能否抵御所有类型的攻击呢？还是需要结合其他安全措施才能更加全面地保障网络安全！

    有12位网友表示赞同！

余笙南吟

我关注的是数据中心级的网络环境，文章里提到的方法对于大型网络是否适用呢？ 或许可以针对大型网络的安全策略进行深入探讨!

    有17位网友表示赞同！

迷路的男人

这篇博文对新手入门来说挺友好，但是对于有一定经验的读者来说可能会觉得不够深度。能够有一些更高级的技术细节，比如可扩展性、性能优化等方面的内容会更好！

    有14位网友表示赞同！

绳情

我一直认为网络安全是一个持续学习的过程，这篇文章就很有必要，让我更新一下自己的ARP防御知识。作者分享的经验很宝贵，值得深入研究!

    有12位网友表示赞同！

命运不堪浮华

ARP攻击对中小企业的影响不小，希望将来能看到更多針對不同规模企业的防ARP机制解决方案！

    有18位网友表示赞同！

烟花巷陌

作者的总结和方法很有用，我打算在实践中尝试一下这套方案。 希望以后博主能继续分享其他网络安全方面的经验！

    有13位网友表示赞同！

肆忌

对于老网工来说，这篇博客更像一种回顾和整理知识的方式，没有带来太大新知。期待博主能够分享更多前沿的网络安全技术!

    有13位网友表示赞同！

罪歌

我认为文章的结构还可以改进一下，比如先介绍ARP攻击的常见场景，然后讲解对应的防禦机制，这样更容易让读者理解！

    有7位网友表示赞同！

残留の笑颜

虽然文章提供了很多实用的建议，但一些具体的配置细节还是需要自己参考相关的官方文档进行学习。希望博主可以提供更多的详细指南！

    有20位网友表示赞同！