防arp攻击软件(防arp攻击是什么意思)

前面我分析了ARP故障及其解决方法。这里我以华为设备为例，给大家讲一下ARP攻击，以及我们应该做哪些预防性配置来抵御攻击。

说到攻击和防范，我觉得有必要先说说ARP安全原理。我将从七个方面来谈谈ARP安全原理。

1.ARP消息速度限制

如果设备处理所有收到的ARP报文，CPU可能会过载，无法处理其他业务。因此，在处理之前，设备需要对ARP报文进行限速，以保护CPU资源。

@根据源MAC地址或源IP地址的ARP报文限速:当设备检测到某用户短时间内发送大量ARP报文时，可以为该用户配置基于源MAC地址或源IP地址的ARP报文限速。在1秒钟内，如果用户的ARP报文数量超过设定的阈值(ARP报文限速值)，超过阈值的ARP报文将被丢弃。

@全局和接口的ARP报文限速:设备支持设置全局和接口下ARP报文的限速值和时限。当同时设置全局和接口下ARP报文的限速值和时限时，设备会先按接口限速，再按全局限速。

2.ARP未命中消息速度限制

如果网络中有用户向设备发送大量目的IP地址无法解析的IP报文(即该IP报文的目的IP对应有路由表项，但设备上的路由表中没有下一跳对应的ARP表项)，就会导致设备触发大量ARP缺失报文。这种触发ARPMiss报文的IP报文(即ARP Miss报文)会被送到主控板进行处理，设备会根据ARP Miss报文生成并发送大量临时ARP表项，向目的网络发送大量ARP请求报文，从而增加设备CPU的负担，严重消耗目的网络的带宽资源。

3.严格学习3。ARP条目

ARP条目的严格学习是指只有本设备发送的ARP请求报文的响应报文才能触发本设备学习ARP，其他设备发送的ARP报文不能触发本设备学习ARP，这样就可以拒绝大部分ARP报文攻击。

通常，当用户a向网关发送ARP请求消息时，网关会向用户a响应ARP回复消息，并添加或更新用户a对应的ARP表项。当网关配置ARP条目的严格学习功能时:

①对于网关收到的用户a发送的ARP请求报文，网关不增加或更新用户a对应的ARP表项。如果请求消息请求网关的MAC地址，网关将向用户a响应ARP回复消息。

②如果网关向UserB发送ARP请求报文，网关收到请求对应的ARP回复报文后，会添加或更新UserB对应的ARP表项。

4.动态ARP监控(DAI)

绑定表用于防御中间人攻击。当设备收到ARP消息时，它会将ARP消息对应的源IP、源MAC、VLAN和接口信息与绑定表中的信息进行比较。如果信息匹配，说明发送ARP报文的用户是合法用户，允许该用户的ARP报文通过；否则，它被认为是攻击，ARP报文被丢弃。

5.ARP入口固化功能

第一次学习ARP后，网关不再允许用户更新该ARP条目或者只允许更新该ARP条目的部分信息，或者通过发送单播ARP请求报文来确认更新ARP条目的报文的合法性。

6.ARP防止网关冲突

攻击者B向用户A发送伪造网关的ARP报文，使用户A误以为攻击者就是网关。用户A的ARP表会记录错误的网关地址映射关系，会中断用户A与网关之间的正常数据通信。如图所示:

7.发送免费ARP消息

攻击者假冒网关向用户发送虚假的ARP报文，导致用户的ARP表记录了错误的网关地址映射关系，从而网关无法接收到正常的数据。为了避免上述危害，可以在网关设备上部署发送免费ARP报文的功能，定期更新用户的ARP条目，使用户的ARP条目中记录正确的网关MAC地址。

本文从七个方面阐述了ARP安全的原理，接下来我就说说ARP攻击以及如何防范。

ARP攻击主要有ARP泛洪攻击和ARP欺骗攻击；

ARP泛洪攻击主要是攻击者发送大量ARP报文，导致ARP表项溢出和ARP漏检。

如果ARP条目溢出，如何防止？

a)网关设备配置有严格的ARP条目学习功能

1: ARP限速源-IP/MAC最大值[全局]

b)配置接口以限制学习的ARP数量

2: ARP防攻击限速启用[接口]

arp防攻击速率限制[包数] [区间值]

如果出现ARP漏检，如何防范？

攻击者向设备发送大量无法解析的目的ip地址，并配置未命中报文的速度限制(全局和源地址)。

1:[华为] ARP-miss限速来源-IP

2:[华为] ARP-miss防攻击限速使能

【华为】arp-miss防攻击限速包数【区间值】

ARP欺骗攻击主要包括中间人攻击、假冒网关攻击和欺骗网关攻击。

①中间人攻击:假冒用户向用户发送ARP报文。

配置动态arp检测:ARP防攻击检查用户绑定启用[在接口或vlan视图下]

②假冒网关攻击:假冒网关向用户发送ARP报文。

配置网关冲突预防:ARP防攻击网关-重复启用[全局]

发送免费ARP: ARP免费-ARP发送使能[在VLANIF接口下]

③欺骗网关攻击:假冒用户向网关发送ARP报文。

配置arp条目固化:ARP防攻击条目-勾选{fixed-MAC | fixed-all | send-ack}启用[全局]

以上是我对ARP攻击及防范的拙见。希望对你有帮助。