3、免费ARP报文主动丢弃

免费ARP报文是一种特殊的ARP报文，该报文中携带的源IP地址和目地IP地址都是本机IP地址，源MAC地址是本机MAC地址，目的MAC地址是广播地址。

当有新的用户主机接入网络时，该用户主机会以广播的方式发送免费ARP报文，来确认广播域中有无其他设备与自己的IP地址冲突；当用户主机改变了硬件地址时，为了能够在其他所有用户主机的ARP表项老化之前通告其硬件地址已经发生改变，该用户主机也会发送免费ARP报文。

由于发送免费ARP报文的用户主机并不需要经过身份验证，任何一个用户主机都可以发送免费ARP报文，这样就引入了两个问题：

1、如果网络中出现大量的免费ARP报文，设备会因为处理这些报文而导致CPU负荷过重，从而不能正常处理合法的ARP报文。

2、如果设备处理的免费ARP报文是攻击者伪造的，会造成设备错误地更新ARP表项，导致合法用户的通信流量发生中断。

参考以上问题描述，在确认攻击来自免费ARP报文之后，可以在网关设备上使能免费ARP报文主动丢弃功能，使网关设备直接丢弃免费ARP报文。

    注意：

当有主机更新了硬件地址并重新接入网络（如主机关机后更换了接口卡并重新启动，或双机热备份系统中主用设备发生故障，备用设备接管）时，如果设备开启了免费ARP报文主动丢弃功能，可能会导致其他网络设备因无法正常更新相应的ARP表项而无法与该主机建立正常通信。

4、ARP优化应答

如图1所示，设备作为接入网关，会收到大量接入用户请求本机接口MAC地址的ARP请求报文。如果全部将这些ARP请求报文上送主控板处理，将会导致主控板CPU使用率过高，影响CPU对正常业务的处理。

图1 ARP优化应答典型组网应用

为了避免上述危害，可以在网关设备上部署ARP优化应答功能。

ARP优化应答功能是指设备接收请求本机接口MAC地址的ARP请求报文后，由接收报文的接口板处理ARP请求报文。ARP优化应答功能去使能时，统一由设备主控板处理ARP请求报文。

部署该功能后，对于目的IP地址是本设备IP地址的ARP请求报文，接口板直接回复ARP应答，对于目的IP地址不是本设备IP地址的ARP请求报文，设备直接丢弃，从而可以提高设备防御ARP泛洪攻击的能力。该功能尤其适用于设备上安装了多块接口板的场景。

缺省情况下，ARP优化应答功能处于使能状态。因此在收到ARP请求报文后，设备首先查看是否有该ARP请求报文中源IP对应的ARP表项。

如果对应的ARP表项存在，设备对该ARP请求报文进行优化应答。

如果对应的ARP表项不存在，设备不对该ARP请求报文进行优化应答。

5、ARP表项严格学习

如果大量用户在同一时间段内向设备发送大量ARP报文，或者攻击者伪造正常用户的ARP报文发送给设备，则会造成下面的危害：

设备因处理大量ARP报文而导致CPU负荷过重，同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽，造成合法用户的ARP报文不能继续生成ARP条目，进而导致用户无法正常通信。

伪造的ARP报文将错误地更新设备的ARP表项，导致用户无法正常通信。

为避免上述危害，可以在网关设备上部署ARP表项严格学习功能。

ARP表项严格学习是指只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP，这样，可以拒绝大部分的ARP报文攻击。

     图1 ARP表项严格学习

如图1所示。通常情况下，当UserA向Gateway发送ARP请求报文后，Gateway会向UserA回应ARP应答报文，并且添加或更新UserA对应的ARP表项。当Gateway配置ARP表项严格学习功能以后：

对于Gateway收到UserA发送来的ARP请求报文，Gateway不添加也不更新UserA对应的ARP表项。如果该请求报文请求的是Gateway的MAC地址，那么Gateway会向UserA回应ARP应答报文。

如果Gateway向UserB发送ARP请求报文，待收到与该请求对应的ARP应答报文后，Gateway会添加或更新UserB对应的ARP表项。

6、ARP表项限制

ARP表项限制功能应用在网关设备上，可以限制设备的某个接口学习动态ARP表项的数目。

默认状态下，接口可以学习的动态ARP表项数目规格与全局的ARP表项规格保持一致。当部署完ARP表项限制功能后，如果指定接口下的动态ARP表项达到了允许学习的最大数目，将不再允许该接口继续学习动态ARP表项，以保证当一个接口所接入的某一用户主机发起ARP攻击时不会导致整个设备的ARP表资源都被耗尽。

7、禁止接口学习ARP表项

    下学习了大量动态ARP表项时，出于安全考虑可以配置禁止该接口的动态ARP表项学习功能，以防止该接口下所接入的用户主机发起ARP攻击使整个设备的ARP表资源都被耗尽。

    学习ARP表项功能和ARP表项严格学习功能配合起来使用，可以使设备对接口下动态ARP的学习进行更加细致的控制。