如何解决arp攻击(arp攻击是怎么回事)、本站经过数据分析整理出如何解决arp攻击(arp攻击是怎么回事)相关信息，仅供参考！

　　 ARP攻击是通过伪造IP地址和MAC地址来欺骗ARP，可以在网络中产生大量ARP广播包，造成网络拥塞。只要攻击者连续发送伪造的RP响应包，就可以增加目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

　　 ARP的类型：常规ARP，代理ARP和免费ARP

　　免费使用ARP:

　　当我更新我的DHCP地址时，我发送一个免费的ARP请求，告诉网段中的所有节点我已经更改了我的IP地址，以便为我更新它们的ARP条目。

　　 2.用于检测网段内是否有人使用与我相同的IP地址。

　　 3.用于ARP攻击。

　　解决方法：

　　 1.静态绑定IP地址和MAC地址

　　 R1(配置)# ARP 192 . 168 . 100 . 2 AAAA . bbbb . cccc FastEthernet 0/1

　　缺陷：如果通过DHCP自动获取地址，租期到期后绑定失效，因病重新发放IP地址，无法分配到IP地址，扩展性差。

　　 2.动态ARP检查在交换机上启动动态ARP监控。

　　 DAI(动态ARP检测)动态ARP监控用于基于VLAN的保护机制。

　　打开DAI后，类似于DHCP snooping，交换机上的所有接口都是不可信接口。当不可信接口收到ARP或ARP磁带时，会提取ARP请求和响应的三层或二层地址，与DHCP绑定数据库中的信息进行比对，看请求方的IP响应或IP是否合法。如果不合法，该消息将被丢弃，只有合法的消息才会被转发。此外，要启用DAI，您必须首先启用DHCP侦听。

　　当交换机接口被手动配置为可信接口时，当收到RP请求或ARP回复时，不会与DHCP绑定数据库中的信息进行比较。消息合法就平方，不合法就直接丢弃。

　　因此，在网络拓扑中，交换机与PC之间的接口应设置为不可信接口，用于交换经济互连的接口和用于减速和连接合法DHCP服务器的接口应设置为可信接口。

　　在切换全局模式下启动DAI

　　 SW1(配置)#iparp检查vlan 20

　　 SW2(配置)#iparp检查vlan 200

　　将中继链路的接口设置为可信接口。

　　 SW1(配置)#接口fastethernet 0/1

　　 SW1(配置-if)#iparp检验信任

　　 SW2(配置)#接口fastethernet 0/2

　　 SW2(配置-if)#iparp检验信任

　　配置DAI的基本步骤：

　　 1.部署DHCP。2.部署DHCP侦听3。部署戴4。将中继接口和连接到DHCP服务器的接口设置为可信接口，并限制连接的PC接口接受ARP消息的速率。

　　 ARP报文的速率限制

　　 DAI untrust接口默认的速率限制是15 P/S，也就是15 pps，而trust接口根本没有限制，可以通过iparp检查限制这个接口级命令来修改。

　　当接口收到的ARP消息超过此阈值时，接口进入err-disable状态。端口会自动关闭。您可以通过不关机来恢复此接口。或者，使用全局命令errdisble recovery使接口在一定时间间隔后自动恢复。

　　 SW1(配置)#接口fastethernet 0/1

　　 SW1(配置-if)#iparp检验极限速率20

　　将接口接受ARP消息的速率限制为20p/s

　　当接口设置为err-disable状态时，自动应答时间为30S。

　　 SW1(配置)#errdisable恢复原因ARP-检查

　　 SW1(配置)#错误禁用恢复间隔30

　　更多关于如何解决arp攻击(arp攻击是怎么回事)的请关注本站。