北京华为HCIE认证网络工程师针对ARP 攻击基本防护详解

北京华为HCIE认证网络工程师针对ARP 攻击基本防护详解为了避免上述ARP攻击行为造成的各种危害， ARP安全特性针对不同的攻击类型提供

了多种解决方案。

针对于ARP洪泛攻击，可以采取以下方式进行基本防护：

1.通过对ARP报文进行限速，建议在网关设备上进行部署，防止因大量ARP报文，导致的CPU负荷过重而造成其他业务无法处理。

2.通过在网关设备上部署ARP Miss消息限速，防止因收到大量目的IP而不能正常对IP报文进行解析，触发大量ARPMiss消息，导致CPU负荷过重。

3. 通过在网关设备上部署无故ARP消息主动丢弃，防止设备因处理大量免费ARP报文，导致CPU负荷过重。

 

 

 

4.在网关设备上部署ARP表项的严格学习控制，设置只有本端设备主动发送的ARP请求报文的应答报文才能触发本设备进行ARP学习。这样可以有效防止设备收到大量ARP攻击报文， 导致ARP表被无效的ARP条目占满。

5.在网关设备上部署ARP表项限制 ，设置设备接口只能学习到不超过最大动态ARP表项数目。可以防止某一个接口所下接入的用户主机发起ARP攻击时造成整个设备的ARP表资源都被耗尽。

6.在网关设备上部署禁止接口学习ARP表项的功能，通过禁止某个接口进行ARP表项学习，防止接口下所接入的用户发起的ARP攻击导致整个设备的ARP表资源都被耗尽。

 

针对ARP表欺骗攻击，可以采取以下方式进行：

1.通过在网关设备上部署ARP表项固化功能， 使得设备在第一次学习到ARP之后，将会采取以下方式限制表项更新：不再允许用户更新此ARP表项、只能更新此ARP表项的部分信息，或者通过发送ARP请求报文的方式进行确认，防止攻击者伪造ARP报文修改正常用户的ARP表项内容。ARP表项固化模式一般分为 fixed-all模式、 fixed-mac模式和send-ack三种模式。

2.在接入设备上部署动态ARP检测，设备收到ARP报文之后，会将此ARP报文的源IP、源MAC，收到ARP报文的接口及VLAN信息与绑定的信息进行比较，如果信息匹配，则认为是合法用户，允许此用户的ARP报文通过，否则认为是攻击报文，则丢弃该ARP报文。这种方式仅适用于DHCP Snooping已经部署的情况下使用。

3.在网关设备上部署无故ARP报文主动丢弃功能，通过主动丢弃无故ARP报文，防止设备因收到大量伪造的无故ARP报文，导致ARP表项更新错误，合法用户的通信流量发生被中断。

4.在网关设备上部署ARP报文MAC地址一致性检查，通过ARP报文MAC地址一致性检查功能，可以防止以太网数据帧中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致的ARP欺骗攻击。

5.在网关设备上部署本ARP表项严格学习功能，开启该功能后，只有本设备主动发送的ARP请求报文的应答报文才能触发本端设备学习，而其他设备发送的ARP报文则不能触发本设备学习ARP。用来防止设备因收到伪造的ARP报文，导致ARP表项更新错误，合法用户的通信流量发生中断。北京华为HCIE认证网络工程师针对ARP 攻击基本防护详解