ARP攻防技术白皮书

ARP攻击防范技术白皮书关键词：ARP，仿冒网关，欺骗网关，欺骗其他用户，泛洪攻击摘要：本文针对目前常见的ARP攻击，介绍了H3C网络设备所能提供的防范ARP攻击的方法以及典型组网应用。

目录1 概述1.1 产生背景1.1.1 ARP工作机制1.1.2 ARP攻击类型介绍1.1.3 ARP攻击的危害1.2 H3C解决方案2 ARP攻击防范技术介绍2.1 接入设备攻击防范介绍2.1.1 ARP Detection功能2.1.2 ARP网关保护功能2.1.3 ARP过滤保护功能2.1.4 ARP报文限速功能2.2 网关设备攻击防范介绍2.2.1授权ARP功能2.2.2 ARP自动扫描和固化功能2.2.3 配置静态ARP表项2.2.4 ARP主动确认功能2.2.5 ARP报文源MAC一致性检查功能2.2.6 源MAC地址固定的ARP攻击检测功能2.2.7 限制接口学习动态ARP表项的最大数目2.2.8 ARP防IP报文攻击功能3 典型组网应用3.1 监控方式3.2 认证方式3.3 网吧解决方案4 参考文献1 概述1.1 产生背景1.1.1 ARP工作机制ARP协议是以太网等数据链路层的基础协议，负责完成IP地址到硬件地址的映射。

工作过程简述如下：(1)当主机或者网络设备需要解析一个IP地址对应的MAC地址时，会广播发送ARP请求报文。

(2)主机或者网络设备接收到ARP请求后，会进行应答。

同时，根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。

(3)发起请求的主机或者网络设备接收到应答后，同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来，生成ARP表项。

1.1.2 ARP攻击类型介绍从ARP工作机制可以看出，ARP协议简单易用，但是却没有任何安全机制，攻击者可以发送伪造ARP报文对网络进行攻击。

伪造ARP报文具有如下特点：l伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致。

ARP攻击防范与解决方案1. ARP攻击概述ARP（地址解析协议）是一种用于将IP地址映射到物理MAC地址的协议。

ARP攻击是指攻击者通过伪造或者篡改ARP数据包来欺骗网络中的主机，从而实现中间人攻击、拒绝服务攻击等恶意行为。

在ARP攻击中，攻击者通常会发送虚假的ARP响应，将合法主机的IP地址与自己的MAC地址进行绑定，导致网络中的通信被重定向到攻击者控制的主机上。

2. ARP攻击的危害ARP攻击可能导致以下危害：- 信息窃听：攻击者可以在通信过程中窃取敏感信息，如账号密码、银行卡信息等。

- 中间人攻击：攻击者可以篡改通信内容，更改数据包中的信息，甚至插入恶意代码。

- 拒绝服务攻击：攻击者可以通过ARP攻击使网络中的主机无法正常通信，导致网络服务不可用。

3. ARP攻击防范与解决方案为了有效防范和解决ARP攻击，可以采取以下措施：3.1 加强网络安全意识提高网络用户的安全意识，加强对ARP攻击的认识和理解。

教育用户不要随意点击来自未知来源的链接，不要打开可疑的附件，以及不要轻易泄露个人信息。

3.2 使用静态ARP绑定静态ARP绑定是一种将IP地址与MAC地址进行手动绑定的方法，可以有效防止ARP欺骗攻击。

在网络设备中配置静态ARP绑定表，将合法主机的IP地址与相应的MAC地址进行绑定，使得ARP响应包不会被攻击者篡改。

3.3 使用ARP防火墙ARP防火墙可以检测和阻挠ARP攻击，通过监控网络中的ARP流量并对异常流量进行过滤，实现对ARP攻击的防范。

ARP防火墙可以根据预设的策略，对ARP响应包进行检查和过滤，防止虚假的ARP响应被接受。

3.4 使用网络入侵检测系统（IDS）或者入侵谨防系统（IPS）IDS和IPS可以监测和谨防网络中的入侵行为，包括ARP攻击。

IDS可以实时监测网络中的ARP流量，发现异常的ARP请求和响应，并及时发出警报。

IPS可以根据事先设定的规则，对检测到的ARP攻击进行自动谨防，如封锁攻击者的IP 地址。

ARP攻击原理简析及防御措施网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者，带来严峻的考验。

网络安全的战场已经从互联网蔓延到用户内部的网络，特别是局域网。

目前利用ARP欺骗的木马病毒在局域网中广泛传播，导致网络随机掉线甚至整体瘫痪，通讯被窃听，信息被篡改等严重后果。

0x1 简介网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者，带来严峻的考验。

网络安全的战场已经从互联网蔓延到用户内部的网络，特别是局域网。

目前利用ARP欺骗的木马病毒在局域网中广泛传播，导致网络随机掉线甚至整体瘫痪，通讯被窃听，信息被篡改等严重后果。

0x2 ARP协议概述ARP协议（address resolution protocol）地址解析协议一台主机和另一台主机通信，要知道目标的IP地址，但是在局域网中传输数据的网卡却不能直接识别IP地址，所以用ARP解析协议将IP地址解析成MAC 地址。

ARP协议的基本功能就是通过目标设备的IP地址，来查询目标设备的mac地址。

在局域网的任意一台主机中，都有一个ARP缓存表，里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。

ARP缓存表的生命周期是有时限的（一般不超过20分钟）。

举个例子：假设局域网中有四台主机主机A想和主机B通信主机A会先查询自己的ARP缓存表里有没有B的联系方式，有的话，就将mac-b 地址封装到数据包外面，发送出去。

没有的话，A会向全网络发送一个ARP广播包，大声询问：我的IP地址是192.168.0.2，硬件地址是mac-a，我想知道IP地址是192.168.0.3的硬件地址是多少？此时，局域网内所有主机都收到了，B收到后会单独私密回应：我是192.168.0.3，我的硬件地址是mac-b，其他主机不会理A的此时A知道了B的信息，同时也会动态的更新自身的缓存表0x3 ARP协议的缺陷ARP协议是建立在信任局域网内所有节点的基础上的，他的效率很高。

ARP欺骗与防御一、 ARP协议：在因特网协议技术中，逻辑地址与物理地址之间的映射称为地址解析（address resolution）。

地址解析包括两个方面的内容：从IP地址到物理地址的映射和从物理地址到IP地址的映射。

TCP/IP专门提供了两个协议来实现这两种映射，一个是地址解析协议（address resolution protocol，ARP），另一个是反向地址解析协议（reverse address resolution protocol，RARP）。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

二、 ARP数据报文格式：0 8 16 31下图就是利用sinffer抓的ARP报文：三、 ARP通信原理：在以太网（Ethernet）中，一个网络设备要和另一个网络设备进行直接通信，除了知道目标设备的网络层逻辑地址（如IP地址）外，还要知道目标设备的第二层物理地址（MAC 地址）。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

当一个网络设备需要和另一个网络设备通信时，它首先把目标设备的IP地址与自己的子网掩码进行"与"操作，以判断目标设备与自己是否位于同一网段内。

如果目标设备在同一网段内，并且源设备没有获得与目标IP地址相对应的MAC地址信息，则源设备以第二层广播的形式（目标MAC地址为全1）发送ARP请求报文，在ARP请求报文中包含了源设备与目标设备的IP地址。

同一网段中的所有其他设备都可以收到并分析这个ARP请求报文，如果某设备发现报文中的目标IP地址与自己的IP地址相同，则它向源设备发回ARP响应报文，通过该报文使源设备获得目标设备的MAC地址信息。

简述arp欺骗攻击的原理和防范对策ARP（Address Resolution Protocol）欺骗攻击是一种网络攻击技术，它利用ARP协议的特性进行欺骗、中间人攻击或局域网内的ARP 缓存中毒。

攻击者发送虚假的ARP响应消息来欺骗其他网络设备，使其将流量发送给攻击者，从而实现对网络通信的窃听、修改或阻断。

ARP协议是将IP地址映射到物理MAC地址的协议，通过向局域网中广播ARP请求，获取目标IP地址对应的MAC地址。

正常情况下，ARP请求是一个广播消息，网络上所有的设备都能收到该消息并回应自己的MAC地址。

然而，攻击者可以发送伪造的ARP响应消息，将自己的MAC地址伪装成目标的MAC地址。

这样，其他网络设备在收到欺骗者的ARP响应后，会将网络流量发送到欺骗者的MAC地址，从而攻击者就可以进行中间人攻击。

ARP欺骗攻击的原理主要包括以下几个步骤：广播欺骗请求、单播响应欺骗响应、IP间隔设备攻击、流量截获及篡改。

防范ARP欺骗攻击需要采取多层次的安全措施，包括物理层安全、网络设备安全和安全策略的制定。

一、物理层安全防范1.硬件设备安全：保证网络设备的物理安全，避免被攻击者直接接触或篡改网络设备。

2.网线加密：使用数字加密技术或物理加密设备，对通信网络中的网线进行加密处理，避免ARP欺骗攻击者通过在网线上截获数据。

3. MAC地址绑定：通过网络硬件设备的管理接口，将MAC地址与设备绑定，限制非法设备访问网络，避免ARP欺骗攻击者伪造MAC地址来进行攻击。

二、网络设备防范1.安全认证机制：为网络设备设置访问口令或使用其他身份验证方法，只允许授权设备进行网络操作，避免非法设备接入网络。

2. MAC地址过滤：设置ACL（Access Control List）策略，限制网络中不合法的MAC地址出现，只允许合法设备进行通信。

3. ARP缓存绑定：为网络设备的ARP缓存表添加绑定条目，将IP 地址与MAC地址进行绑定，确保只有指定的MAC地址可以响应对应的IP地址。

ARP攻击原理与防御措施ARP攻击是一种常见的网络攻击手段，它利用了ARP协议的漏洞，通过欺骗网络中的主机，实现中间人攻击或者篡改数据包的目的。

本文将介绍ARP攻击的工作原理和常见的防御措施。

ARP（Address Resolution Protocol）是一种用于解析IP地址与MAC地址之间对应关系的协议。

在局域网中，主机之间通信时需要知道目标主机的MAC地址。

为了确定目标主机的MAC地址，ARP协议广播一个ARP请求报文，请求局域网中的所有主机返回自己的MAC 地址。

当目标主机收到ARP请求后，它会将自己的MAC地址返回给请求主机。

之后，请求主机就可以通过MAC地址发送数据包给目标主机。

这个过程中所有主机的IP与MAC地址的对应关系都会被缓存在主机的ARP缓存表中，以便于以后的通信。

ARP攻击就是利用ARP协议的这一过程，欺骗网络中的主机，篡改其ARP缓存表的内容，从而达到攻击者控制网络流量的目的。

攻击者可以发送伪造的ARP回应报文给局域网中的其他主机，告诉他们自己是其他主机的MAC地址。

之后，当其他主机要和目标主机通信时，他们会向攻击者发送数据包，攻击者就可以窃取、篡改或者丢弃这些数据包。

在面对ARP攻击时，有一些防御措施可以采取：1. 使用静态ARP表：静态ARP表是手动配置的IP与MAC地址对应关系表。

通过使用静态ARP表，可以防止ARP缓存被攻击者篡改，因为静态ARP表中的对应关系不会随着网络通信而改变。

2. 使用ARP监测工具：ARP监测工具可以实时监测网络中的ARP请求和回应报文，并检测是否有异常的活动。

一旦发现异常，可以及时采取措施阻止攻击。

3. 使用网络隔离技术：将网络划分为多个子网，并使用网络隔离技术，可以减小ARP 攻击的影响范围，防止攻击者对整个网络进行攻击。

4. 使用ARP防火墙：ARP防火墙可以监控网络中的ARP活动，并根据预先设定的规则，过滤和阻止可疑的ARP报文。

IPv6解决方案ND防攻击技术白皮书关键词：ND，ARP，ND攻击，ARP攻击，交换机，IPV6摘 要：本文介绍了在IPv6网络中的ND攻击及防攻击的技术思路以及H3C公司的ND防攻击方案部署的典型方案以及技术特点。

缩略语清单：缩略语英文全名中文解释NDP Neighbor Discover邻居发现协议ProtocolARP Address Resolution地址解析协议ProtocolIPv6Internet Protocol因特网协议第六版Version 61ND攻击概述邻居发现协议（Neighbor Discovery Protocol，以下称ND协议）是IPv6的一个关键协议，可以说，ND协议是IPv4某些协议在IPv6中综合起来的升级和改进，如ARP、ICMP路由器发现和ICMP重定向等协议。

当然，作为IPv6的基础性协议，ND还提供了其他功能，如前缀发现、邻居不可达检测、重复地址检测、地址自动配置等。

在IPv4网络中，ARP攻击问题已经为广大的网络管理者，设备厂商所认识，ARP攻击能够造成大面积网络不能正常访问外网，使得正常用户深受其害。

针对ARP攻击，大部分的网络设备厂商都推出了自己的ARP防攻击解决方案，在很大程度上解决了ARP攻击的问题。

而伴随着IPv6网络的建设，在IPv6协议族中的NDP协议越来越被重视，而在ND协议的设计与ARP协议一样并未提供认证机制，导致网络中的主机是不可信的，从而使得针对ND协议的攻击非常容易。

2ND协议介绍2.1ND报文类型ND协议定义的报文使用ICMP承载，其类型包括：路由器请求报文、路由器通告报文、邻居请求报文、邻居通告报文和重定向报文。

由于ND报文中的可选字段及代码类型较多，下面描述的ND报文中的各个字段并不完全，主要描述了涉及到ND防攻击技术的选项。

2.1.1路由器请求报文RS Router Solicitation Message主机启动后，通过RS消息向路由器发出请求，期望路由器立即发送RA消息响应。

网络攻击与防护白皮书摘要：本白皮书旨在探讨网络攻击的不断演进以及相应的防护措施。

我们将分析当前网络攻击的趋势和类型，并提出一系列有效的防御策略和技术，以帮助企业和个人提高网络安全性。

1. 引言网络攻击已经成为当今互联网时代的一大威胁。

随着技术的不断进步和互联网的广泛应用，网络攻击手段日益复杂和隐蔽，给个人和组织的信息资产带来了严重的威胁。

因此，制定有效的网络防护策略和采用先进的防护技术变得尤为重要。

2. 网络攻击的趋势网络攻击的形式和手段不断演进。

目前，主要的网络攻击趋势包括以下几个方面：2.1 高级持续性威胁（APT）APT是一种针对特定目标的长期攻击，攻击者通过多种手段渗透目标网络，获取敏感信息或者进行破坏。

APT攻击通常具有高度的隐蔽性和复杂性，对传统的防护手段构成了巨大挑战。

2.2 勒索软件勒索软件通过加密用户文件并勒索赎金的方式进行攻击。

勒索软件攻击近年来呈现爆发式增长，给个人和企业带来了巨大的经济损失。

预防勒索软件攻击需要综合使用备份、安全更新、网络监测等多种手段。

2.3 社交工程社交工程是指攻击者通过利用人们的社交行为和心理弱点，获取敏感信息或者进行网络攻击。

社交工程攻击手段包括钓鱼邮件、钓鱼网站等。

有效的防范社交工程攻击需要加强用户教育和意识培养。

3. 网络防护策略为了有效应对网络攻击，我们提出以下网络防护策略：3.1 多层次防护网络安全防护应该采用多层次的防护策略，包括边界防护、内部防护和终端防护。

边界防护主要通过防火墙、入侵检测系统等来防止外部攻击；内部防护主要通过网络隔离、访问控制等来防止内部攻击；终端防护主要通过安全更新、反病毒软件等来保护终端设备。

3.2 实时监测与响应建立实时监测系统，及时发现和应对网络攻击事件。

监测系统应该结合日志分析、入侵检测等技术手段，实现对网络流量的实时监控和异常检测。

同时，建立紧急响应机制，对攻击事件进行及时处置和恢复。

3.3 加强用户教育用户教育是网络防护的重要环节。

简述arp攻击防范技术ARP攻击是一种常见的网络攻击方式，攻击者通过ARP欺骗的手段，将合法的网络通信重定向到攻击者控制的设备上，从而获取网络通信的敏感信息。

为了防范ARP攻击，网络管理员可以采取一系列的技术手段和措施。

网络管理员可以使用静态ARP表来防范ARP攻击。

静态ARP表是一种手动配置的ARP表，将网络中的每个设备的IP地址和MAC 地址进行绑定，这样攻击者就无法通过ARP欺骗的方式来篡改ARP表，从而实现ARP攻击。

然而，这种方法需要手动配置每个设备的ARP表，对于大规模的网络来说，工作量较大。

网络管理员还可以使用ARP检测工具来防范ARP攻击。

ARP检测工具能够监测网络中的ARP流量，当检测到异常的ARP流量时，及时发出警报或采取相应的防御措施。

例如，可以使用ARPwatch 工具来监测ARP流量，并将异常的ARP请求记录下来，以便进行分析和处理。

另外，还可以使用ARP防御工具来主动检测和阻止ARP攻击，如XArp、ARPDefender等工具。

网络管理员还可以使用VLAN技术来防范ARP攻击。

VLAN可以将一个物理网络划分为多个逻辑网络，不同的VLAN之间是隔离的，从而防止ARP欺骗攻击跨越不同的VLAN。

通过合理划分VLAN 并配置相应的ACL规则，可以限制网络中不同VLAN之间的通信，提高网络的安全性。

网络管理员还可以使用ARP欺骗检测和防御系统来防范ARP攻击。

ARP欺骗检测和防御系统是一种专门针对ARP攻击的设备或软件，能够实时监测网络中的ARP流量，检测和阻止ARP攻击。

该系统可以通过监测ARP流量的特征，识别出异常的ARP请求，并及时发出警报或自动阻止攻击流量。

常见的ARP欺骗检测和防御系统有Snort、ArpON等。

网络管理员还可以使用加密技术来提高网络的安全性。

通过使用加密协议，可以对网络通信进行加密，防止攻击者窃取敏感信息。

例如，可以使用SSL/TLS协议对HTTP通信进行加密，使用IPsec协议对IP通信进行加密。

ARP攻击的防范与解决方案目录1.故障现象 (1)2.故障原理 (1)3.在局域网内查找病毒主机方法 (2)3.1在PC上绑定路由器的IP和MAC地址 (3)3.2在路由器上绑定用户主机的IP和MAC地址 (3)3.3关闭并重启端口检测功能 (4)“Trojan.PSW.LMir.qh”传奇杀手木马病毒，俗称“ARP欺骗攻击”，其主要通过伪造IP 地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle”进行ARP重定向和嗅探攻击。

1. 故障现象间断性断网，网速变慢，本机IP地址和MAC地址发生变化。

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

2. 故障原理要了解故障原理，我们先来了解一下ARP协议。

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。

ARP 协议对网络安全具有重要的意义。

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

论计算机网络ARP攻击的应对与防范通过对计算机网络ARP攻击的主要特点、危害的分析，论证了其相应的预防措施和安全策略，目的在于增强网络运行的效率和结果。

标签：计算机网络；ARP攻击；应对；防范前言随着网络的发展计算机的普及，计算机网络安全已经成为热议的话题，而计算机网络ARP攻击则是该安全领域的重要威胁因素。

考虑到这一点，防范计算机网络ARP攻击就刻不容缓。

1 ARP协议和工作原理在局域网络之中，IP地址是计算机的标志性识别因素，它为互联网上的每一个网络和每一台主机分配一个逻辑地址。

但具体到实际的数据传输过程中，MAC才是实际的地址。

在生产过程中，生产厂家就会将MAC地址刻录到网卡的EPROM中。

这样一来，世界上每一台计算机的网卡的物理地址就是独一无二的。

在以太网（Ethernet）中，两个不同的网络设备之间如果要实现通信联系，一方面需要获取的是目标设备的网络层面的逻辑地址，另一方面还需要知晓其实际地址，即物理地址，这两者缺一不可。

ARP协议在运行过程中，通过目标设备的IP地址来查询目标设备的MAC地址，这样才能够有足够的能力保障网络通信的正常实施。

假设有两个网络设备A和B，当A需要和B进行通信的时候，A首先需要把B的IP地址与自己的子网掩码进行“与”操作，若两者处于同一个网段之内且源设备未获得与目标IP地址相对应的MAC地址信息，则源设备就发送ARP请求报文。

在上述网段中的其他设备也可以收到此ARP请求报文。

如有检测到相符的，那么它就会向源设备发回ARP响应报文，并且经由该报文使源设备获得目标设备的MAC地址信息。

若不处于同一网段，则源设备首先把IP 分组发向自己的缺省网关，并由他转发。

假如源设备没有关于缺省网关的MAC 信息，则它同样通过ARP协议获取缺省网关的MAC地址信息。

为了缓解广播的负载量，网络设备通过ARP表在缓存中保存IP与MAC地址的映射信息。

发生一次ARP的请求并给予相关的回应的这个过程中，通信双方都会在自己的ARP表中保存彼此的IP与MAC地址的对应关系，这样便于以后的通信联系。

ARP攻击原理与防御措施作者：汪永生来源：《数字技术与应用》2020年第02期摘要：当前网络与生活工作息息相关，通畅的网络环境给广大用户单位提供了良好的运行环境。

但是由于网络病毒的肆意攻击，给网络用户带来巨大的危害。

而网络安全中的ARP安全问题尤其困扰着普通用户的生活和工作，本文结合自身实际工作经验浅谈网络安全中的ARP攻击问题和防御手段。

关键词：网络安全;ARP攻击;ARP防御中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2020）02-0181-020 引言当前时期网络安全问题突出，ARP病毒攻击不仅会断开用户的网络，还会造成用户信息和数据的泄露。

如何正确地防范ARP攻击，防止个人和单位遭受重大损失是本文主要解决的问题，本文在计算机网络协议、IP和MAC地址的基础上对ARP的工作原理和攻击方式进行分析，以及针对ARP攻击所采取的防御措施，以此来达到加强网络安全防范的目的。

1 ARP协议的工作原理1.1 ARP协议的含义及作用ARP是“address resolution protocol”的缩写，全称“地址解析协议”。

在网络通信中，通信主机之间直接通过IP地址进行相互识别，而数据传输必须要依靠網卡的物理地址进行寻址。

ARP的主要作用就是将IP地址转换成MAC地址，保障网络层和数据链路层之间的正常通信[1]。

根据国际标准化组织（ISO）和国际电报电话咨询委员会（CCITT）联合制定的开放系统互连参考模型系统（OSI）定义的功能框架，ARP协议工作在其定义的第三层网络层，而网络层要和它的下一层数据链路层进行通信必须要依靠ARP协议。

1.2 ARP报文格式（表1）硬件类型：表示ARP协议可以在某种类型的网络上传输，其长度为2个字节，值为1的时候表示以太网地址类型。

上层协议类型：表示硬件地址要映射的协议地址类型，其长度为2个字节，值为0x800表示映射的是IP协议。

MAC地址长度：表示MAC地址的长度，其长度为1个字节，ARP协议中此值为6。

DCN交换机ARP GUARD功能技术白皮书神州数码网络有限公司修改记录[说明：技术白皮书由研发人员编写初稿（要归档到研发中心CC服务器相关项目或部门中），提交给产品经理，产品经理进行修订润色，形成可提供给外部客户的最终稿（归档到产品部知识库）。

[]内蓝色字体部分为文档内容编写提要，请产品经理注意技术白皮书最终定稿后请删除[]内容。

]目录1.概述 (1)2.缩写和术语 (1)3.技术介绍 (1)4.主要特性 (3)5.技术特色与优势 (3)6.典型应用指南 (3)7.参考资料 (4)1. 概述ARP 协议用于IPV4网络中解析网络设备MAC地址，其基本原理是PC1已知PC2的IP地址，PC1向PC2发送IP报文之前必需首先获取PC2的MAC地址。

为此，PC1发送ARP REQUEST报文向PC2请求MAC地址；PC2接收到ARP REQUEST报文之后，发送ARP REPLY报文，通告自己的MAC地址；PC1接收到PC2的ARP REPLY报文，就创建ARP表项，然后就可以根据ARP表项向PC2发送IP数据。

同时为了提交效率，RFC规定在PC2没有接收到ARP REQUEST的时候也可以主动发送ARP REPLY报文通告自己的MAC地址；其它网络设备接收到ARP REPLY报文之后就直接创建ARP表项，并据此向PC2发送IP数据。

ARP协议的设计存在严重的安全漏洞，任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。

这就为ARP欺骗提供了可乘之机，攻击者发送ARP REQUEST报文或者ARP REPLY报文通告错误的IP地址和MAC地址映射关系，导致网络通讯故障。

ARP欺骗的危害主要表现为两种形式：1、PC4发送ARP报文通告PC2的IP地址映射为自己的MAC地址，将导致本应该发送给PC2的IP报文全部发送到了PC4，这样PC4就可以监听、截获PC2的报文；2、PC4发送ARP报文通告PC2的IP地址映射为非法的MAC地址，将导致PC2无法接收到本应该发送给自己的报文。

目录1 ARP攻击防御配置.............................................................................................................................1-11.1 ARP攻击防御简介.............................................................................................................................1-11.2 ARP攻击防御配置任务简介...............................................................................................................1-11.3 配置ARP防止IP报文攻击功能...........................................................................................................1-21.3.1 ARP防止IP报文攻击功能简介.................................................................................................1-21.3.2 配置ARP防止IP报文攻击功能.................................................................................................1-21.3.3 ARP防止IP报文攻击显示和维护.............................................................................................1-31.4 配置ARP报文限速功能......................................................................................................................1-31.4.1 ARP报文限速功能简介...........................................................................................................1-31.4.2 配置ARP报文限速功能...........................................................................................................1-31.5 配置源MAC地址固定的ARP攻击检测功能........................................................................................1-31.5.1 源MAC地址固定的ARP攻击检测功能简介.............................................................................1-31.5.2 配置源MAC地址固定的ARP攻击检测功能.............................................................................1-41.5.3 源MAC地址固定的ARP攻击检测显示和维护..........................................................................1-41.6 配置ARP报文源MAC一致性检查功能...............................................................................................1-41.6.1 ARP报文源MAC一致性检查功能简介.....................................................................................1-41.6.2 配置ARP报文源MAC一致性检查功能.....................................................................................1-51.7 配置ARP主动确认功能......................................................................................................................1-51.7.1 ARP主动确认功能简介...........................................................................................................1-51.7.2 配置ARP主动确认功能...........................................................................................................1-51.8 配置ARP Detection功能....................................................................................................................1-51.8.1 ARP Detection功能简介.........................................................................................................1-51.8.2 配置ARP Detection功能.........................................................................................................1-61.8.3 ARP Detection显示和维护......................................................................................................1-71.8.4 用户合法性检查和报文有效性检查配置举例...........................................................................1-81.8.5 用户合法性检查配置举例........................................................................................................1-91.9 配置ARP自动扫描、固化功能.........................................................................................................1-101.9.1 ARP自动扫描、固化功能简介..............................................................................................1-101.9.2 配置ARP自动扫描、固化功能..............................................................................................1-111.10 配置ARP网关保护功能..................................................................................................................1-111.10.1 ARP网关保护功能简介.......................................................................................................1-111.10.2 配置ARP网关保护功能.......................................................................................................1-111.10.3 ARP网关保护功能配置举例................................................................................................1-121.11 配置ARP过滤保护功能..................................................................................................................1-131.11.1 ARP过滤保护功能简介.......................................................................................................1-131.11.2 配置ARP过滤保护功能.......................................................................................................1-131.11.3 ARP过滤保护功能配置举例................................................................................................1-131 ARP攻击防御配置1.1 ARP攻击防御简介ARP协议有简单、易用的优点，但是也因为其没有任何安全机制而容易被攻击发起者利用。

ARP攻击防御解决方案技术白皮书Hangzhou H3C Technologies Co., Ltd杭州华三通信技术有限公司All rights reserved版权所有侵权必究（REP01T01 V2.4/ IPD-CMM V3.0 / for internal use only）（REP01T01 V2.4/ IPD-CMM V3.0 / 仅供内部使用）声明Copyright © 2007 杭州华三通信技术有限公司及其许可者版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

H3C、Aolynk、、IRF、H3Care、、Neocean、、TOP G、SecEngine、SecPath、SecBlade、COMWARE、VVG、V2G、V n G、PSPT、NetPilot、XGbus均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

修订记录日期版本描述作者2007-09-25 1.00 初稿完成宋渊目录1概述 (3)1.1ARP攻击日益严重 (3)1.2ARP攻击这么容易进行呢 (3)1.3ARP攻击的类型 (3)1.3.1网关仿冒 (3)1.3.2欺骗网关 (3)1.3.3欺骗终端用户 (3)1.3.4ARP泛洪攻击 (3)2解决方案介绍 (3)2.1认证模式 (3)2.1.1总体思路 (3)2.1.2处理机制及流程 (3)2.2DHCP 监控模式 (3)2.2.1总体思路 (3)2.2.2相关技术 (3)3典型组网部署 (3)3.1DHCP 监控模式的部署 (3)3.1.1典型组网 (3)3.1.2部署思路 (3)3.2认证模式的部署 (3)3.2.1典型组网 (3)3.2.2部署步骤 (3)4总结 (3)图目录图1 网关仿冒攻击示意图 (3)图2 欺骗网关攻击示意图 (3)图3 欺骗终端攻击示意图 (3)图4 认证模式示意图 (3)图5 iNode设置本地ARP流程 (3)图6 DHCP SNOOPING模式示意图 (3)图7 ARP入侵检测功能示意图 (3)图8 DHCP Snooping表项示意图 (3)ARP攻击防御解决方案技术白皮书关键词：ARP ARP攻击摘要：本文介绍了H3C公司ARP攻击防御解决方案的思路。

黑客攻防ARP欺骗技术的认识作者：周陆洲概要：由于ARP协议在无ARP请求的情况下任意接收ARP应答并更新缓存，这为ARP欺骗创造了条件，因此可制定ARP缓存更新规则。

规定接收ARP协议报文的顺序是先发送ARP请求然后才能接收与此匹配的ARP应答报文，对到达的无ARP请求或者不匹配的应答报文一律丢弃，这样可以有效防止攻击方利用ARP欺骗报文更新ARP缓存达到欺骗目的。

ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP缓存表，从而建立错误的IP与MAC对应关系，源主机发送数据时数据便不能被正确地址接收。

一、ARP协议的漏洞分析ARP协议是一个高效的数据链路层协议.但是设计初衷是方便数据的传输.设计前提是网络绝对安全的情况.ARP协议是建立在局域网主机相互信任的基础之上.ARP具有广播性、无状态性、无认证性、无关性和动态性等一系列的安全缺陷。

（1）ARP协议寻找MAC地址是广播方式的。

攻击者可以应答错误的MAC地址.同时攻击者也可以不问断地广播ARP请求包.造成网络的缓慢甚至网络阻塞；（2）ARP协议是无状态和动态的。

任意主机都可以在没有请求的情况下进行应答.且任何主机只要收到网络内正确的ARP应答包.不管它本身是否有ARP请求。

都会无条件的动态更新缓存表；（3）ARP协议是无认证的。

ARP协议默认情况下是信任网络内的所有节点.只要是存在ARP缓存表里的IP/MAC映射以及接收到的ARP应答中的IP/MAC映射关系.ARP都认为是可信任的.并没有对IP/MAC映射的真实性，有效性进行检验.也没有维护映射的一致性。

二、ARP欺骗的分类从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。

它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。