下面我們介紹幾種常見ARP攻擊典型的癥狀：

上網(wǎng)的時候經(jīng)常會彈出一些廣告， 有彈出窗口形式的， 也有嵌入網(wǎng)頁形式的。

下載的軟件不是原本要下載的， 而是其它非法程序。

網(wǎng)關(guān)設(shè)備ARP表項存在大量虛假信息， 上網(wǎng)時斷時續(xù)；網(wǎng)頁打開速度讓使用者無

法接受。

終端不斷彈出“本機的XXX段硬件地址與網(wǎng)絡(luò)中的XXX段地址沖突”的對話框。 對于ARP攻擊， 可以簡單分為兩類：

一、ARP欺騙攻擊， 又分為ARP仿冒網(wǎng)關(guān)攻擊和ARP仿冒主機攻擊。

二、ARP泛洪（Flood）攻擊， 也可以稱為ARP掃描攻擊。

對于這兩類攻擊， 攻擊程序都是通過構(gòu)造非法的ARP報文， 修改報文中的源IP地址與（或）源MAC地址， 不同之處在于前者用自己的MAC地址進行欺騙， 后者則大量發(fā)送虛假的ARP報文， 擁塞網(wǎng)絡(luò)。

一、接入交換機篇

接入交換機是最接近用戶側(cè)的網(wǎng)絡(luò)設(shè)備， 也最適于通過它進行相關(guān)網(wǎng)絡(luò)攻擊防護。 通過對接入交換機的適當(dāng)設(shè)置， 我們可以將很多網(wǎng)絡(luò)威脅隔離在交換機的每端口內(nèi)， 而不至于對整網(wǎng)產(chǎn)生危害。

1、AM功能

AM（access management）又名訪問管理， 它利用收到數(shù)據(jù)報文的信息（源IP 地址 或者源IP+源MAC）與配置硬件地址池（AM pool）相比較， 如果找到則轉(zhuǎn)發(fā)， 否則丟棄。

AM pool 是一個地址列表， 每一個地址表項對應(yīng)于一個用戶。 每一個地址表項包括了地址信息及

其對應(yīng)的端口。 地址信息可以有兩種：

IP 地址（ip-pool）， 指定該端口上用戶的源IP 地址信息。

MAC-IP 地址（mac-ip pool）， 指定該端口上用戶的源MAC 地址和源IP 地址信息。

當(dāng)AM使能的時候， AM模塊會拒絕所有的IP報文通過（只允許IP地址池內(nèi)的成員源地址通過）。

我們可以在交換機端口創(chuàng)建一個MAC+IP 地址綁定， 放到地址池中。 當(dāng)端口下聯(lián)主機發(fā)送的IP報文（包含ARP報文）中， 所含的源IP＋源MAC不符合地址池中的綁定關(guān)系， 此報文就將被丟棄。 配置命令示例如下：

舉例：使能AM 并允許交接口4 上源IP為192.1.1.2， 源MAC是00-01-10-22-33-10 的用戶通過。

Switch(Config)#am enable

Switch(Config)#interface Ethernet 0/0/4 Switch(Config-Ethernet0/0/4)#am port

Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2

(1）功能優(yōu)點

配置簡單， 除了可以防御ARP攻擊， 還可以防御IP掃描等攻擊。 適用于信息點不多、規(guī)模不大的靜態(tài)地址環(huán)境下。

(2）功能缺點

1、需要占用交換機ACL資源；

2、網(wǎng)絡(luò)管理員配置量大， 終端移動性差。

2、ARP Guard功能

基本原理就是利用交換機的過濾表項， 檢測從端口輸入的所有ARP 報文， 如果ARP 報文的源IP 地址是受到保護的IP 地址， 就直接丟棄報文， 不再轉(zhuǎn)發(fā)。

舉例：在端口Ethernet0/0/1 啟動配置ARP Guard 地址192.168.1.1（設(shè)為網(wǎng)關(guān)地址）。

Switch(Config)#interface ethernet0/0/1

Switch(Config- Ethernet 0/0/1)# arp-guard ip 192.168.1.1