前面我给大家分析了ARP故障及其解决方法。这里我就以华为设备为例，给大家讲讲ARP攻击，以及我们应该做哪些防范配置来抵御攻击。

说到攻击和防范，我觉得有必要先说说ARP安全的原理。我从七个方面来说说ARP安全的原理。

1.ARP消息速度限制

如果设备处理所有收到的ARP报文，可能会导致CPU过载，无法处理其他业务。因此，在处理之前，设备需要限制ARP数据包的速度，以保护CPU资源。

@根据源MAC地址或源IP地址的ARP报文限速：当设备检测到用户短时间内发送大量ARP报文时，可以为用户配置基于源MAC地址或源IP地址的ARP报文限速。在一秒钟内，如果用户的ARP报文数量超过设定的阈值(ARP报文限速值)，则超过阈值的ARP报文被丢弃。

@全局和接口的ARP报文限速：设备支持配置全局和接口下ARP报文的限速值和时间。当同时配置全局和接口下ARP报文的限速值和时间时，设备会先根据接口限速，再根据全局限速。

2.ARP未命中消息速度限制

如果网络中有用户向设备发送大量目标IP地址无法解析的IP报文(即路由表中有该IP报文的目的IP对应的路由表条目，但设备上的路由表条目中没有下一跳对应的ARP条目)，就会导致设备触发大量ARP缺失报文。触发ARPMiss报文(即ARP Miss报文)的IP报文会被发送到主控板进行处理，设备会根据ARP Miss报文生成并分发大量临时ARP表项，并向目的网络发送大量ARP请求报文，从而增加设备CPU的负担，严重消耗目的网络的带宽资源。

3.ARP表项是经过严格研究的

ARP条目的严格学习是指只有本设备发送的ARP请求报文的响应报文才能触发本设备学习ARP，其他设备发送的ARP报文不能触发本设备学习ARP，这样就可以拒绝大部分ARP报文攻击。

通常情况下，用户a向网关发送ARP请求消息后，网关会回复用户a一条ARP回复消息，并添加或更新用户a对应的ARP表项。网关配置ARP入口严格学习功能时：

网关收到用户a发送的ARP请求报文时，不添加或更新用户a对应的ARP条目。如果请求消息请求网关的MAC地址，那么网关将向用户a响应ARP回复消息。

(2)如果Gateway向UserB发送ARP请求报文，在收到请求对应的ARP回复报文后，Gateway会添加或更新UserB对应的ARP表项。

4.动态ARP监控(DAI)

绑定表用于防御中间人攻击。当设备接收到ARP报文时，它比较对应于ARP报文的源IP、源MAC、VLAN、接口信息和绑定表信息。如果信息匹配，说明发送ARP报文的用户是合法用户，允许该用户的ARP报文通过。否则，它将被视为攻击，ARP消息将被丢弃。

5.ARP表项固化功能

第一次学习ARP后，网关设备将不再允许用户更新该ARP表项或者只允许更新该ARP表项的部分信息，或者通过发送单播ARP请求报文来确认更新ARP表项的报文的合法性。

6.ARP防止网关冲突

攻击者B向用户A发送伪造网关的ARP报文，使用户A误以为攻击者就是网关。用户A的ARP表会记录错误的网关地址映射关系，会中断用户A与网关之间的正常数据通信。如图所示：

7.发送免费ARP消息

攻击者假冒网关向用户发送伪造的ARP报文，导致用户的ARP表中网关地址映射错误，网关无法接收正常数据。为了避免上述危害，可以在网关设备上部署发送免费ARP报文的功能，定期更新用户的ARP条目，使用户的ARP条目中记录正确的网关MAC地址。

ARP泛洪攻击主要是攻击者发送大量ARP报文，导致ARP表溢出和ARP漏检。

如果ARP表条目溢出我。

a）网关设备配置ARP表项严格学习功能

配置1：arp speed-limit source-ip/mac maximum [全局]

b）配置接口限制学习ARP的数目

配置2：arp anti-attack rate-limit enable [接口]

arp anti-attack rate-limit [packet-number] [ interval-value ]

如果出现ARP Miss我们该如何防范呢？

攻击者向设备发送大量不能解析的目的ip地址，配置miss消息限速（全局和源地址）

配置1：[huawei]arp-miss speed-limit source-ip

配置2：[huawei]arp-miss anti-attack rate-limit enable

[huawei] arp-miss anti-attack rate-limit packet-number [ interval-value ]

ARP欺骗攻击主要有中间人攻击、仿冒网关攻击、欺骗网关攻击。

①中间人攻击：仿冒user向user发送ARP报文

配置动态arp检测：arp anti-attack check user-bind enable [接口或者vlan视图下]

②仿冒网关攻击：仿冒网关向user发送ARP报文

配置防网关冲突：arp anti-attack gateway-duplicate enable [全局]

配置发送免费arp：arp gratuitous-arp send enable [ vlanif 接口下]

③欺骗网关攻击：仿冒user向网关发送ARP报文

配置arp表项固化：arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable[全局]

以上内容就是针对ARP攻击与防范的一点拙见，希望对各位有所帮助。