ARP Security

ARP简单没有任何安全机制

ARP攻击分为两类

1、ARP欺骗：ARP欺骗指攻击者通过发送伪造的ARP报文，恶意修改网关或网络内其他主机的ARP表项，造成用户或网络的报文转发异常。

2、ARP泛洪：ARP泛洪攻击也叫拒绝服务攻击（Denial of Service），攻击者向设备发送大量目的IP地址无法解析的伪造ARP请求报文或免费报文，造成设备上的ARP表项溢出，无法缓存正常用户的ARP表项，从而影响正常的报文转发

防范措施：

1、ARP欺骗：

（1）ARP报文动态检测：设备收到ARP报文时，将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCP Snooping绑定表的信息进行比较，如果信息匹配，说明是合法用户，则允许此用户的ARP报文通过，否则认为是攻击，丢弃该ARP报文。

（2）ARP报文合法性检测：设备收到ARP报文时，对以太报文头中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址进行一致性检查。如果以太报文头中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致，则直接丢弃该ARP报文。否则允许该ARP报文通过。

（3）ARP表项固化：设备学习到ARP表项以后，不再允许其他用户更新ARP表项或只能更新此ARP表项的部分信息，以防止攻击者伪造ARP报文替换正常用户的ARP表项内容。

通过部署防ARP欺骗功能，能有效的预防网络攻击者运用通过ARP报文的手段攻击网络，保证网络通信的安全性和可靠性。