如何判断交换机是否受到ARP攻击以及处理方式

一、如果网络受到了ARP攻击，可能会出现如下现象：

1、用户掉线、频繁断网、上网慢、业务中断或无法上网。

2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。

3、Ping有时延、丢包或不通。

定位ARP攻击时，请先排除链路、环路或路由问题，排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果，以便在故障无法解决时快速收集和反馈信息。

1、在网关上执行命令display cpu-defend statistics all，查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。

如果计数为0，设备没有丢弃ARP报文。

如果有计数，表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。

如果是ARP Miss报文丢弃很多，设备很可能受到了ARP Miss攻击。

如果是ARP Request或ARP Reply报文丢弃很多，设备很可能受到了ARP Request或ARP Reply报文攻击。

2、在网关上执行命令display arp all，查看用户的ARP表项是否存在。

如果ARP表项还在，请再查看用户的ARP表项，然后确定是否有用户或网关的ARP表项被改变。

如果是网关上用户ARP表项被改变，设备受到了ARP欺骗网关攻击。

在设备与用户连接的接口上获取报文头，分析ARP报文的源地址，找出攻击者。

建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能，请根据情况选择配置。

3、系统视图下执行命令arp static，配置静态ARP表项。

如果下挂用户较少，可以通过配置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用。

4、系统视图或接口视图下执行命令arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable，配置ARP表项固化功能。

fixed-mac方式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。当用户从不同接口接入设备时，设备上该用户对应的ARP表项中的接口信息可以及时更新。

fixed-all方式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。

send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

二、处理方式：

1、配置黑名单或黑洞MAC对攻击源的报文进行丢弃处理。

如果是用户的网关ARP表项被改变，设备受到了ARP仿冒网关攻击。

在设备与用户连接的接口上获取报文头，分析ARP报文的源地址，找出攻击者。

建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能，请根据情况选择配置。

2、在网关的下行接口配置端口隔离，防止同一VLAN的用户收到攻击的ARP。

系统视图下执行命令arp anti-attack gateway-duplicate enable，使能ARP防网关冲突攻击功能。

3、在接口或VLAN视图下执行命令arp anti-attack check user-bind enable，使能动态ARP检测功能（即对ARP报文进行绑定表匹配检查功能）。

动态ARP检测功能主要用于防御中间人攻击的场景，避免合法用户的数据被中间人窃取。

4、在系统视图下执行命令arp anti-attack packet-check { ip | dst-mac | sender-mac }*，使能ARP报文合法性检查功能，并指定ARP报文合法性检查项。

配置后，还需应用该防攻击策略才能生效。

用户视图下执行命令display arp anti-attack configuration arp-speed-limit，查看是否配置了ARP报文限速。

系统视图下执行命令arp speed-limit source-ip [ ip-address ] maximum maximum，调整根据源IP地址进行ARP报文限速的限速值。

系统视图下执行命令arp speed-limit source-mac [ mac-address ] maximum maximum，调整根据源MAC地址进行ARP限速的限速值。

系统视图、VLAN视图或接口视图下执行命令arp anti-attack rate-limit packet packet-number，调整ARP报文的限速值。