由 dawei ARP攻击防范是通过对ARP表的控制以及ARP报文的限制、检查等手段来保护网络设备的安全。之所以ARP攻击泛滥是由于ARP协议上的缺陷,没有相应的安全性验证;对于大型网络来说,找出攻击源是比较困难的一件事情,通过网络设备的配置也只能缓解ARP攻击对整个网络造成的压力。
2. ARP Miss消息限速
- arp-miss speed-limit source-ip maximum 40 //配置根据源IP地址进行ARP Miss消息限速
3. ARP报文限速
- arp speed-limit source-mac maximum 10 //配置根据源MAC地址进行ARP限速
- arp speed-limit source-ip maximum 10 //配置根据源IP地址进行ARP限速
如何确定攻击源:
在疑似ARP攻击的网段里,通过WIRESHARK等抓包软件抓包,分析网络中ARP包的情况再结合交换机端口数据的收发等其他的手段最终找出攻击源。
实际工作中,网络中出现ARP攻击是一个比较常见的问题也是一个比较头疼的问题,需要结合抓包软件、交换机日志、交换机端口信息、终端信息等多种网络节点信息综合分析,最终找出攻击源。