ARP攻擊防范是通過對ARP表的控制以及ARP報文的限制、檢查等手段來保護網(wǎng)絡(luò)設(shè)備的安全。之所以ARP攻擊泛濫是由于ARP協(xié)議上的缺陷，沒有相應(yīng)的安全性驗證;對于大型網(wǎng)絡(luò)來說，找出攻擊源是比較困難的一件事情，通過網(wǎng)絡(luò)設(shè)備的配置也只能緩解ARP攻擊對整個網(wǎng)絡(luò)造成的壓力。

[[276265]]攻擊" title="ARP攻擊">

網(wǎng)絡(luò)中常見的ARP攻擊有以下幾種：

• 仿冒網(wǎng)關(guān)：攻擊源假冒網(wǎng)關(guān)發(fā)送偽造的ARP報文(IP地址為網(wǎng)關(guān)的IP，MAC地址為自己的MAC),用戶電腦收到偽造的ARP包后，就會將本來要發(fā)給網(wǎng)關(guān)的數(shù)據(jù)報文發(fā)送到攻擊設(shè)備上，這樣攻擊者就會輕易竊聽到用戶數(shù)據(jù)。
• ARP MISS攻擊：攻擊者發(fā)送大量的目的IP地址不能解析的ARP包，設(shè)備會觸發(fā)大量的ARP MISS信息，設(shè)備CPU需要大量的資源去處理這些信息，導(dǎo)致CPU負(fù)載加重，正常的報文無法處理，從而導(dǎo)致網(wǎng)絡(luò)慢。
• ARP報文攻擊：網(wǎng)關(guān)設(shè)備收到大量源MAC偽造的ARP報文，加劇設(shè)備的負(fù)擔(dān)。

對付ARP攻擊的最佳辦法就是雙向綁定，也就是在網(wǎng)關(guān)和電腦上都做IP與MAC地址的靜態(tài)綁定;但是實際應(yīng)用中，受制于網(wǎng)絡(luò)規(guī)模，網(wǎng)絡(luò)終端設(shè)備移動等情況，此方法極大地加劇了網(wǎng)絡(luò)管理的工作量。雙向綁定可以用于小型網(wǎng)絡(luò);在中大型網(wǎng)絡(luò)中，需要通過交換機的配置來緩解ARP攻擊并通過抓包找出攻擊源。

下面以華為交換機為例，介紹幾種攻擊防范方式的配置：

1. 仿冒網(wǎng)關(guān)

arp anti-attack gateway-duplicate enable //配置ARP防網(wǎng)關(guān)沖突 

2. ARP Miss消息限速

arp-miss speed-limit source-ip maximum 40 //配置根據(jù)源IP地址進行ARP Miss消息限速 

3. ARP報文限速

arp speed-limit source-mac maximum 10 //配置根據(jù)源MAC地址進行ARP限速  
arp speed-limit source-ip maximum 10 //配置根據(jù)源IP地址進行ARP限速 

如何確定攻擊源：

在疑似ARP攻擊的網(wǎng)段里，通過WIRESHARK等抓包軟件抓包，分析網(wǎng)絡(luò)中ARP包的情況再結(jié)合交換機端口數(shù)據(jù)的收發(fā)等其他的手段最終找出攻擊源。

實際工作中，網(wǎng)絡(luò)中出現(xiàn)ARP攻擊是一個比較常見的問題也是一個比較頭疼的問題，需要結(jié)合抓包軟件、交換機日志、交換機端口信息、終端信息等多種網(wǎng)絡(luò)節(jié)點信息綜合分析，最終找出攻擊源。