文章目录
  1. 常见ARP攻击
  2. 防御策略
    1. 防御ARP欺骗
    2. 防御ARP泛洪

常见ARP攻击

(1)ARP欺骗;攻击者发送伪造的ARP应答报文来恶意修改网关或网络中其他主机的ARP表项,造成用户或网络的报文转发异常。

(2)ARP泛洪;攻击者向网络中发送大量目的IP地址无法解析的ARP请求报文,造成网络设备上ARP表项溢出,无法缓存正常用户的ARP表项。

防御策略

防御ARP欺骗

设备收到ARP应答报文后,对其MAC头部的源、目的MAC地址与ARP报文数据段中的源、目的MAC地址进行一致性检查,若不一致,则丢弃此ARP报文。

防御ARP泛洪

禁止接口学习ARP表项的功能或配置ARP表项严格学习(只学习自己请求的ARP应答报文、限制接口可以学习的ARP表项的总数目、或限制一定时间内可以学习的ARP表项的数目,即限速,等等)