常見的ARP攻擊主要有兩種,一種是ARP欺騙,攻擊者通過發送僞造的ARP封包,惡意修改網關或網絡内其他主機的ARP表項,造成使用者或網絡的封包轉發異常。另一種是ARP泛洪攻擊,也叫拒絕服務攻擊(Denial of Service),攻擊者向裝置發送大量目的IP位址無法解析的僞造ARP請求封包或免費封包,造成裝置上的ARP表項溢出,無法緩存正常使用者的ARP表項,進而影響正常的封包轉發。
這兩種ARP攻擊會導緻:
造成網絡不穩定,引發使用者無法上網或者企業斷網導緻重大生産事故。
非法擷取遊戲、網銀、檔案服務等系統的帳号和密碼,給被攻擊者造成利益上的重大損失。
通過對ARP封包進行有效性檢查和速率限制等處理,達到彌補ARP協定的缺陷,防範針對ARP協定的攻擊和網段掃描攻擊等基于ARP協定的攻擊,保證網絡裝置和網絡通信的安全性。
攻擊類型
防攻擊政策
功能說明
ARP欺騙
配置ARP封包有效性檢查
裝置收到ARP封包時,對以太封包頭中的源、目的MAC位址和ARP封包資料區中的源、目的MAC位址進行一緻性檢查。如果以太封包頭中的源、目的MAC位址和ARP封包資料區中的源、目的MAC位址不一緻,則直接丢棄該ARP封包。否則允許該ARP封包通過。
ARP泛洪
禁止接口學習ARP表項的功能
出于安全或管理上的考慮,使用者禁止指定接口學習ARP表項的功能,可以有效防止ARP表項溢出,保證ARP表項的安全性。
配置ARP表項嚴格學習
裝置僅學習自己發送的ARP請求封包的應答封包,并不學習其它裝置向路由器發送的ARP請求封包,即可以拒絕掉大部分的ARP請求封包攻擊。
配置ARP表項限制
裝置基于接口限制學習ARP表項的總數目,可以有效的防止ARP表項溢出,保證ARP表項的安全性。
配置ARP封包限速
裝置對ARP封包進行數量統計,在一定時間内,如果ARP封包數量超出了配置的門檻值,超出部分的ARP封包将被忽略,裝置不作任何處理,有效防止ARP表項溢出。
本文轉自Grodd51CTO部落格,原文連結:http://blog.51cto.com/juispan/1951406,如需轉載請自行聯系原作者
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)