ARP 攻击防御


交换机要防御ARP攻击，就必须能够识别并读取ARP报文内容，
然后根据报文内容判断是否存在欺骗攻击行为，对于ARP欺骗报文进行丢弃处理。在接入层就是利用接入交换机的ARP入侵检测(ARP Intrusion Inspection)功能，进行ARP欺骗攻击防御。

ARP入侵检测在接入交换机进行部署，接入交换机同时启用DHCP Snooping对DHCP报文进行监测。

DHCP Snooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息，并形成一个DHCP Snooping绑定表。

交换机端口接收到的ARP报文后，通过查找DHCP Snooping建立的绑定关系表，来判断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容，则
认为是合法的报文，允许通过;否则认为是欺骗攻击报文，就进行丢弃。ARP入侵检测能够防止接入终端发起任何ARP欺骗攻击，如果全网部署AII功能，可有效解决ARP欺骗攻击问题。另外由于ARP欺骗攻击，经常伴随者发送大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速，对每个端口单位时间内接收到的ARP报文进行限制，很好地保障了网络带宽资源和交换机CPU资源。