常见的ARP***主要有两种,一种是ARP欺骗,***者通过发送伪造的ARP报文,恶意修改网关或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。另一种是ARP泛洪***,也叫拒绝服务***(Denial of Service),***者向设备发送大量目的IP地址无法解析的伪造ARP请求报文或免费报文,造成设备上的ARP表项溢出,无法缓存正常用户的ARP表项,从而影响正常的报文转发。
这两种ARP***会导致:
☉造成网络不稳定,引发用户无法上网或者企业断网导致重大生产事故。
☉非法获取游戏、网银、文件服务等系统的帐号和口令,给被***者造成利益上的重大损失。
通过对ARP报文进行有效性检查和速率限制等处理,达到弥补ARP协议的缺陷,防范针对ARP协议的***和网段扫描***等基于ARP协议的***,保证网络设备和网络通信的安全性。
| ***类型 | 防***策略 | 功能说明 |
| ARP欺骗 | 配置ARP报文有效性检查 | 设备收到ARP报文时,对以太报文头中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址进行一致性检查。如果以太报文头中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致,则直接丢弃该ARP报文。否则允许该ARP报文通过。 |
| ARP泛洪 | 禁止接口学习ARP表项的功能 | 出于安全或管理上的考虑,用户禁止指定接口学习ARP表项的功能,可以有效防止ARP表项溢出,保证ARP表项的安全性。 |
| 配置ARP表项严格学习 | 设备仅学习自己发送的ARP请求报文的应答报文,并不学习其它设备向路由器发送的ARP请求报文,即可以拒绝掉大部分的ARP请求报文***。 | |
| 配置ARP表项限制 | 设备基于接口限制学习ARP表项的总数目,可以有效的防止ARP表项溢出,保证ARP表项的安全性。 | |
| 配置ARP报文限速 | 设备对ARP报文进行数量统计,在一定时间内,如果ARP报文数量超出了配置的阈值,超出部分的ARP报文将被忽略,设备不作任何处理,有效防止ARP表项溢出。 |
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
