ARP攻擊防范是通過對ARP表的控制以及ARP報文的限制、檢查等手段來保護網絡設備的安全。之所以ARP攻擊泛濫是由于ARP協議上的缺陷，沒有相應的安全性驗證;對于大型網絡來說，找出攻擊源是比較困難的一件事情，通過網絡設備的配置也只能緩解ARP攻擊對整個網絡造成的壓力。

[[276265]]攻擊" title="ARP攻擊">

網絡中常見的ARP攻擊有以下幾種：

• 仿冒網關：攻擊源假冒網關發送偽造的ARP報文(IP地址為網關的IP，MAC地址為自己的MAC),用戶電腦收到偽造的ARP包后，就會將本來要發給網關的數據報文發送到攻擊設備上，這樣攻擊者就會輕易竊聽到用戶數據。
• ARP MISS攻擊：攻擊者發送大量的目的IP地址不能解析的ARP包，設備會觸發大量的ARP MISS信息，設備CPU需要大量的資源去處理這些信息，導致CPU負載加重，正常的報文無法處理，從而導致網絡慢。
• ARP報文攻擊：網關設備收到大量源MAC偽造的ARP報文，加劇設備的負擔。

對付ARP攻擊的最佳辦法就是雙向綁定，也就是在網關和電腦上都做IP與MAC地址的靜態綁定;但是實際應用中，受制于網絡規模，網絡終端設備移動等情況，此方法極大地加劇了網絡管理的工作量。雙向綁定可以用于小型網絡;在中大型網絡中，需要通過交換機的配置來緩解ARP攻擊并通過抓包找出攻擊源。

下面以華為交換機為例，介紹幾種攻擊防范方式的配置：

1. 仿冒網關

arp anti-attack gateway-duplicate enable //配置ARP防網關沖突 

2. ARP Miss消息限速

arp-miss speed-limit source-ip maximum 40 //配置根據源IP地址進行ARP Miss消息限速 

3. ARP報文限速

arp speed-limit source-mac maximum 10 //配置根據源MAC地址進行ARP限速  
arp speed-limit source-ip maximum 10 //配置根據源IP地址進行ARP限速 

如何確定攻擊源：

在疑似ARP攻擊的網段里，通過WIRESHARK等抓包軟件抓包，分析網絡中ARP包的情況再結合交換機端口數據的收發等其他的手段最終找出攻擊源。

實際工作中，網絡中出現ARP攻擊是一個比較常見的問題也是一個比較頭疼的問題，需要結合抓包軟件、交換機日志、交換機端口信息、終端信息等多種網絡節點信息綜合分析，最終找出攻擊源。