ARP 攻击防范技术介绍

防 ARP 地址欺骗

特性简介

设备作为三层使用时，当用户发送ARP报文修改设备的ARP表项时，防地址欺骗可以通过

ARP报文和ARP表中的相关表项对比，对ARP表项的某些字段不允许修改的方式防止ARP欺骗。

实现方式

防地址欺骗有两种方式： 1）主动确认方式进行ARP学习； 2）锁定方式防表项更新，在第

一次学习到ARP表后不允许再更新表项。

主动确认方式进行ARP学习

在第一次学习ARP时，当收到用户的更新ARP请求，暂时不更新本地的ARP表，先向用户发

送一个ARP请求，如果用户回应该请求，则学习此用户的ARP，否则不学习该用户的ARP。

注：主动确认方式的ARP学习目前有一个缺陷，参见主动确认方式的ARP学习缺陷。

锁定方式防止ARP更新

当用户第一次学习到ARP后，锁定ARP表项的某些字段或全部字段，不允许更新ARP表项。

包括两种锁定方式： 1） fixed-mac方式，不允许更新MAC和IP，可以更新端口、 VLAN等其他信息； 2） fixed-all方式，全部不允许更新，包括ARP的老化时间都不允许更新。

防 ARP 网关冲突

特性简介

当设备作为网关时， ARP网关冲突检查可以防止用户仿冒网关的IP，非法修改网关和网络

内其他用户的ARP表项。

实现方式

当交换机使能防ARP网关冲突时，下发一条ACL规则将ARP报文全部上送，通过软件转发。

当CPU收到ARP报文时，比较此ARP报文的源IP是否和其所在的VLANIF的某个IP地址相同，

如果相同，则为用户仿冒网关IP，丢弃此ARP报文，记录日志并发送告警。同时下发一个ACL，

丢弃该用户的ARP报文，此ACL的有效时间为3分钟， 3分钟后删除此ACL规则。

ARP 严格学习

特性简介

ARP表项严格学习用来防止恶意更改ARP表项。使能ARP严格学习功能后，使交换机只学习

自己发送的ARP请求报文的应答报文。

实现方式

ARP严格学习是在设备发送ARP请求时，记录下当前发送的请求表项，称之为发送列表，

当收到ARP回应报文时，比较此报文的源地址是否在发送列表中，如果在发送列表中，则更新

ARP表项，否则不更新ARP表。另外，收到的ARP请求也免费ARP报文都不更新ARP表项。

注：该特性为VRP平台实现。

1.3.4 动态 ARP 检测(DAI)

特性简介

Dynamic ARP Inspection(DAI)是通过DHCP SNOOPING表项，检查收到的ARP报文的合法性，

如果ARP报文和DHCP SNOOPING绑定表的内容一致，则允许此用户的ARP报文通过，否则丢弃该

ARP报文。

防止ARP中间人攻击，可以配置ARP报文检查功能，对接口或VLAN下收到的ARP报文和绑定

表进行匹配检查，当报文的检查项和绑定表中的特征项一致时，转发该报文，否则丢弃报文。

同时可以配置告警功能，当丢弃的报文数超过限制的阈值时，发出告警信息。

实现方式

DAI是通过DHCP SNOOPING检查ARP报文的合法性，目前有两种实现方式： 1）通过软件实

现，框式交换机采取这种方式； 2）通过芯片实现，盒式交换机采用这种方式。下面分别描述

两种实现方式。

 软件方式DAI

软件方式DAI是将ARP报文通过软件转发，在转发过程中判断报文的合法性。

当VLAN使能DAI时，下发规则将该VLAN下的所有ARP报文上送到软件层面。在软件层，查

找DHCP SNOOPING绑定表来检查ARP报文是否和绑定表匹配，主要检查ARP报文的源MAC、源IP、

报文入端口、 VLAN（可以包括内层VLAN和外层VLAN）是否和DHCP SNOOPING绑定表匹配，如果完全匹配，允许报文转发，否则丢弃该报文。匹配的选项可以配置。

 硬件方式DAI

硬件方式是通过芯片的ACL规则检查用户ARP报文的合法性，检查的内容和通过软件检查

一致，也可配置。

当DHCP SNOOPING用户上线后，通知DAI模块。 DAI模块将用户表项中的源MAC、源IP、 VLAN

信息，加上匹配ARP协议，组装成一条ACL规则，下发到芯片中。

当ARP报文从某个端口进入芯片时，通过下发的ACL规则去匹配，如果匹配到，说明发送

这个ARP报文的用户是合法的，允许该ARP报文转发，当下发的用户ARP ACL不能匹配时，该用

户是非法的，通过匹配该端口下的默认ACL规则丢弃报文（该规则在端口使能DAI时下发，如

果是基于VLAN的DAI，则在VLAN使能DAI是下发到VLAN上）。

ARP 报文速率限制

在城域以太网中，存在着很多针对ARP 表项的攻击，因此需要在网络的接入层或者汇聚

层配置防止对ARP 表项的攻击，以保护网络的安全性。

为防止大量的ARP 报文增加CPU 的负荷，以及占用大量的ARP 表项，可以配置ARP 报

文速率抑制，将上送主控板处理的ARP 报文速率限制在一个合理的范围内。

为防止主机发送大量目标IP 地址不能解析的IP 报文来攻击设备，可以配置ARPMiss

源抑制功能，对攻击者的报文进行丢弃处理。

接口下使能ARP 报文检查功能后，经过接口的ARP 报文上送安全模块进行检查，为

防止大量ARP 报文对安全模块的冲击，可以配置ARP 报文速率抑制，对超过速率限

制的报文做丢弃处理。

ARP 防攻击解决方案

二层交换机防攻击方案

如上图所示， 在二层交换机上，部署DAI，以保证整个网络的ARP安全，部署ARP限速，以

保证设备自身的安全；

三层网关防攻击方案

如上图所示， 在三层交换机上，部署防ARP地址欺骗、放ARP网关冲突和ARP严格学习，保

证网络中的ARP安全，部署ARP报文限速，保证设备本身的安全。