《网络工程师》ARP攻击与防范

各位老铁们好，相信很多人对《网络工程师》ARP攻击与防范都不是特别的了解，因此呢，今天就来为大家分享下关于《网络工程师》ARP攻击与防范以及的问题知识，还望可以帮助大家，解决大家的一些困惑，下面一起来看看吧！

1.ARP报文限速

如果设备收到的大量ARP报文全部处理，可能会导致CPU过载，无法处理其他业务。因此，设备在处理之前，需要对ARP报文进行限速，以保护CPU资源。

@允许基于源MAC地址或源IP地址的ARP报文限速：当设备检测到用户在短时间内发送大量ARP报文时，可以配置基于源MAC地址或源IP地址的ARP报文用户的IP 地址。文字速度限制。 1秒内，如果该用户的ARP报文数量超过设定的阈值（ARP报文限速），超过阈值的ARP报文将被丢弃。

@全局和接口ARP报文限速：设备支持配置全局和接口的ARP报文限速值和限速时间。当全局和接口同时配置ARP报文限速值和限速时，设备会先基于接口进行限速，然后再进行全局限速。

2. ARP Miss消息速率限制

如果网络中的用户向设备发送大量目的IP地址无法解析的IP报文（即路由表中存在该IP报文的目的IP对应的路由项，但设备没有没有下一跳对应的路由表项（ARP表项），会导致设备触发大量的ARP Miss消息。触发ARP Miss消息的IP报文（即ARP Miss报文）将被发送到主控板进行处理。设备会根据ARP Miss消息生成并下发大量临时ARP表项，并向目的网络发送大量ARP请求。增加了设备CPU的负担，严重消耗了目的网络的带宽资源。

3、严格学习ARP表项

严格学习ARP表项是指只有设备主动发送的ARP请求报文的响应报文才能触发设备学习ARP。其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这样就可以拒绝了。大多数ARP 消息攻击。

正常情况下，当UserA向Gateway发送ARP请求报文时，Gateway会向UserA回复ARP应答报文，并添加或更新UserA对应的ARP表项。网关配置ARP表项严格学习功能后：

当Gateway收到UserA发送的ARP请求报文时，Gateway不会添加或更新UserA对应的ARP表项。如果请求消息请求网关的MAC地址，则网关将向UserA响应ARP应答消息。

如果Gateway 向UserB 发送ARP 请求报文，则Gateway 收到该请求对应的ARP 回复报文后，会添加或更新UserB 对应的ARP 表项。

4、动态ARP监控（DAI）

绑定表用于防御中间人攻击。设备收到ARP报文后，会将ARP报文对应的源IP、源MAC、VLAN、接口信息与绑定表中的信息进行比较。如果信息匹配，则发送ARP报文的用户是合法用户。允许该用户的ARP包通过，否则视为攻击，丢弃该ARP包。

5.ARP表项固化功能

网关设备第一次学习到ARP后，不再允许用户更新ARP表项或只允许部分更新ARP表项，或者发送单播ARP请求报文更新ARP表项。确认文件的合法性。

6、ARP防止网关冲突

攻击者B将伪造网关的ARP报文发送给用户A，导致用户A误认为攻击者就是网关。用户A的ARP表会记录错误的网关地址映射关系，导致用户A与网关之间的正常数据通信中断。如图所示：

7.发送免费ARP报文

攻击者欺骗网关，向用户发送伪造的ARP报文，导致用户的ARP表中记录了错误的网关地址映射关系，导致网关无法接收正常数据。为了避免上述危害，可以在网关设备上部署发送免费ARP报文的功能，定期更新用户的ARP表项，使用户的ARP表项中记录正确的网关MAC地址。

我从7个方面讲解了ARP安全原理，接下来我会讲一下ARP攻击以及如何防范。

ARP攻击主要包括ARP泛洪攻击和ARP欺骗攻击；

ARP泛洪攻击主要是攻击者发送大量ARP报文，导致ARP表项溢出和ARP Miss。

如何防止ARP表项溢出？

a) 网关设备配置ARP表项严格学习功能

配置1：arp限速源ip/mac最大[全局]

b) 配置接口限制学习到的ARP数量

配置2：arp防攻击限速使能[接口]

arp 抗攻击速率限制[数据包数量] [间隔值]

如果出现ARP Miss，我们该如何预防呢？

攻击者向设备发送大量无法解析的目的IP地址，并配置未命中报文速率限制（全局和源地址）

配置一：[huawei]arp-miss speed-limit source-ip

配置2：[huawei]arp-miss防攻击限速使能

[huawei] arp-miss防攻击限速包数[ 间隔值]

ARP欺骗攻击主要包括中间人攻击、假冒网关攻击、欺骗网关攻击等。

中间人攻击：冒充用户，向用户发送ARP报文

配置动态arp检测：arp anti-attack check user-bind enable [接口或vlan视图下]

假网关攻击：假网关向用户发送ARP数据包

配置防网关冲突：arp anti-attack gateway-duplicate enable [global]

配置发送免费arp：arp gratuitous-arp send enable [vlanif接口下]

欺骗网关攻击：冒充用户向网关发送ARP包

用户评论

雨后彩虹

我也是个网络工程师，感觉这篇博客写的真是太到位了！ARP攻击确实让人头疼，幸好作者详细地介绍了它的原理和防护措施，让我能更好地理解和应对这种威胁。

    有8位网友表示赞同！

|赤;焰﹏゛

ARP攻击真的防不胜防啊！之前公司就遇到过这种情况，导致整个网段瘫痪，当时处理起来真是心累 morire。还好有这篇文章回顾一下原理，以后遇到类似问题可以更有针对性地解决。

    有19位网友表示赞同！

麝香味

作为一名网络安全爱好者，我对ARP攻击一直很关注。作者的文章讲解得非常清晰，而且提供了很多实用的防范技巧，真的受益匪浅！

    有18位网友表示赞同！

怀念·最初

对于新手来说，这篇博客的解释还是比较详细的，但我觉得可以再多讲一些常见的ARP攻击工具和针对不同类型的攻击所采取的防御方案，这样会更有帮助。

    有5位网友表示赞同！

入骨相思

arp攻击太 insidious 了，很多时候很难察觉到它。这篇文章让我更加重视网络安全的建设，应该定期对网络设备进行检查和更新，才能更好地预防这类攻击。

    有12位网友表示赞同！

开心的笨小孩

我觉得文章里提到的防火墙跟入侵检测系统这些安全措施，对于预防ARP攻击效果有限啊。还需要结合其他防护手段，比如端口号策略和MAC地址过滤等等，才能有效地阻挡ARP攻击。

    有5位网友表示赞同！

龙吟凤

我之前没听说过ARP poisoning这种攻击手法，听了这篇文章才知道原来网络世界还有这么个套路！虽然文章讲解得很详细，但我还是觉得需要多练习才能真正理解和防范这些攻击。

    有14位网友表示赞同！

残花为谁悲丶

作者总结得非常好，确实要注重每一项网络安全措施的实施，才能形成完整的防御体系，抵御ARP攻击和其他各种恶意行为。真希望所有公司都能重视网络安全啊！

    有13位网友表示赞同！

温柔腔

这篇文章把ARP攻击原理和防范策略都介绍得比较全面了，很值得一读。不过对于一些具体的操作步骤，可以再详细一点，有助于读者更好地理解和实践。

    有7位网友表示赞同！

一笑傾城゛

我认为防火墙配置很重要，应该将MAC地址过滤设置为开启状态，以减少ARP欺骗的发生概率，同时定期扫描网络设备存在的漏洞，及时更新防护措施。

    有13位网友表示赞同！

凝残月

对于一些中小企业来说，可能负担不起专业的网络安全系统，那么在日常维护中更加关注端口号控制、使用安全的密码策略等，也能起到一定的保障作用。 建议可以分享更多针对小型企业的防范方法！

    有16位网友表示赞同！

鹿先森，教魔方

这篇文章的重点在于让读者明确ARP攻击的存在和危险性，并学习一些基础的应对技巧，我认为非常有用。如果能结合一些案例分析，会更加生动形象。

    有7位网友表示赞同！

你身上有刺，别扎我

我公司之前就遭遇过arp攻击，导致业务中断相当长时间，最后才发现是网络工程师疏忽责任造成的。提醒所有企业，加强网络安全意识，定期进行风险评估和漏洞扫描很关键！

    有6位网友表示赞同！

有恃无恐

我觉得作者提到的ARP攻击工具部分还需要更详细的介绍，哪些工具更容易造成危害，哪些工具防护起来比较困难，这些细节信息对读者理解ARP攻击更为全面。

    有15位网友表示赞同！

龙卷风卷走爱情

对于网络工程师来说，需要不断学习新技术和掌握安全知识。这篇文章可以作为学习ARP攻击的一点启示，后续可以再深入研究相关的防御策略和应急方案，做好万全准备！

    有14位网友表示赞同！

風景綫つ

网络安全是一个不断发展变化的领域，需要我们时刻保持警惕和进步意识。感谢作者分享这篇文章，让我们对ARP攻击有了更深入的了解。

    有12位网友表示赞同！

哭着哭着就萌了°

作为一名学生对网络安全的关注越来越高，这篇博客让我对AR攻击有了更清晰的理解，也更加意识到自己未来学习的方向。

    有11位网友表示赞同！