ARP安全

背景：

　　由于ARP协议简单，易用，所以在生活中也越来越多的场合出现ARP攻击。特别是园区网中，举个很简单的例子，一个小型公司，平时通过拨号上网，内部组网非常简单，几乎是二层网络，并且通过TP-LINK等无线设备接入二层网络，然后在使用过程中，其他部门又接了一台TP-LINK（默认地址192.168.0.x），这样就很容易出现了ARP欺骗攻击；再者，校园网中，计算机专业的同学down了一个arp攻击工具，打算在学校里面玩一玩。。。

常见的ARP攻击方式：

　　1. ARP泛洪攻击：主要通过发送大量的ARP报文，对硬件设备进行攻击，造成DOS，因为ARP协议报文的处理是要通过CPU的，那么数量多得让CPU处理不过来，就形成了攻击的目的。此外，常规的设备的ARP表项，MAC地址表都是有阈值的。把表填满了，交换机就成了集线器，也形成了攻击的目的。

　　2. ARP欺骗攻击：通过伪造ARP报文，进而刷新原先正常的ARP表，把正常流量引导到攻击者的主机上，可以实现窥探，解密等，如果发生在欺骗网关，问题就更加严重，可能发生局部的断网；

常见的ARP防止攻击的手段：

　　1. ARP限速：大量的ARP报文会给设备造成CPU繁忙的异常，通过对ARP报文数的限制，实现安全保障，ARP限速可以基于MAC地址，IP地址，VLAN来进行管控

　　2. ARP MISS报文限速：ARP MISS主要发生在网关，一旦网关存在目的路由，而实际无法解析下一跳的mac地址，就容易发生ARP imcomplete，可以从厂商设备的log中看到此攻击类型。ARP MISS报文限速可以基于IP地址，全局，VLAN，接口进行管控,此外，还可以通过调整ARP老化时间来减缓（在ARP未老化前，针对同一个IP地址的ARP请求，不会再触发新的ARP请求）

　　3. 免费ARP报文主动丢弃：免费ARP是任意设备都能发送的，特别是手工配置IP地址，通常会发送免费ARP报文来坚持同一局域网是否有IP地址冲突。攻击者可以充分利用这点工作原理，通过伪造网关的IP地址来更新ARP表项，达到伪装网关的目的。通过设置免费ARP报文主动丢弃可以很好的解决这种问题。

　　4. ARP 条目手工配置：如果管理员明确知道IP和MAC地址的对应关系，可以通过静态配置，可以大大减缓伪造报文的攻击，一般只需要在重要的设备配置。

　　5. 配置动态ARP检测：前提条件是启用了DHCP SNOOPING，并且生成了DHCP SNOOPING绑定表，设备会根据表项检查IP,MAC,接口等信息，只有完全匹配，才能允许ARP报文通过

　　6. 配置ARP防止网关欺骗：在网关设备上，检测到ARP报文的源IP地址和报文入接口对应的vlanif接口IP地址一样。或者是ARP报文的源IP地址和报文入接口对应的虚拟IP地址一样，但是MAC地址不是VRRP的虚拟MAC地址，则认为是伪造报文，网关设备进行丢弃