如下图1所示，Attacker仿冒UserA向Gateway发送伪造的ARP报文，导致Gateway的ARP表中记录了错误的UserA地址映射关系，造成UserA接收不到正常的数据报文。

图1 欺骗网关攻击示意图

为了防御这种欺骗网关攻击，可以在网关设备上部署ARP表项固化功能。

网关设备在第一次学习到ARP以后，不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息，或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。

设备提供的三种ARP表项固化模式。

1、fixed-all模式    

如果设备收到的ARP报文中的MAC地址、接口或VLAN信息和ARP表中的信息不匹配，则直接丢弃该ARP报文。此模式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。

2、fixed-mac模式 

如果设备收到的ARP报文中的MAC地址与ARP表中对应条目的MAC地址不匹配，则直接丢弃该ARP报文；如果匹配，但是收到报文的接口或VLAN信息与ARP表中对应条目不匹配，则可以更新对应ARP条目中的接口和VLAN信息。

此模式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。

3、send-ack模式  

如果设备收到的ARP报文A涉及ARP表项MAC地址、接口或VLAN信息的修改，设备不会立即更新ARP表项，而是先向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文进行确认。

如果在随后的3秒内设备收到ARP应答报文B，且当前ARP条目中的IP地址、MAC地址、接口和VLAN信息与ARP应答报文B的一致，则认为ARP报文A为攻击报文，不更新该ARP条目。

如果在随后的3秒内设备未收到ARP应答报文，或者收到ARP应答报文B与当前ARP条目中的IP地址、MAC地址、接口和VLAN信息不一致，设备会再向刚才收到的ARP报文A对应的源MAC发送一个单播ARP请求报文。

如果在随后的3秒内收到ARP应答报文C，且ARP报文A与ARP应答报文C的源IP地址、源MAC地址、接口和VLAN信息一致，则认为现有ARP条目已经无效且ARP报文A是可以更新该ARP条目的合法报文，并根据ARP报文A来更新该ARP条目。

如果在随后的3秒内未收到ARP应答报文，或者ARP报文A与收到的ARP应答报文C的源IP地址、源MAC地址、接口和VLAN信息不一致，则认为ARP报文A为攻击报文，设备会忽略收到的ARP报文A，ARP条目不会更新。

此模式适用于用户的MAC地址和接入位置均频繁变动的场景。

9、动态ARP检测（中间人攻击）

网络中针对ARP的攻击层出不穷，中间人攻击是常见的ARP欺骗攻击方式之一。

中间人攻击（Man-in-the-middle attack）是指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为与对方直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。

如下图1所示，是中间人攻击的一个场景。攻击者主动向UserA发送伪造UserB的ARP报文，导致UserA的ARP表中记录了错误的UserB地址映射关系，攻击者可以轻易获取到UserA原本要发往UserB的数据；同样，攻击者也可以轻易获取到UserB原本要发往UserA的数据。这样，UserA与UserB间的信息安全无法得到保障。

图1 中间人攻击

为了防御中间人攻击，可以在Switch上部署动态ARP检测DAI（Dynamic ARP Inspection）功能。

动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时，将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。

    说明：

动态ARP检测功能仅适用于DHCP Snooping场景。设备使能DHCP Snooping功能后，当DHCP用户上线时，设备会自动生成DHCP Snooping绑定表；对于静态配置IP地址的用户，设备不会生成DHCP Snooping绑定表，所以需要手动添加静态绑定表。

当Switch上部署动

态ARP检测功能后，如果攻击者连接到Switch并试图发送伪造的ARP报文，Switch会根据绑定表检测到这种攻击行为，对该ARP报文进行丢弃处理。如果Switch上同时使能了动态ARP检测丢弃报文告警功能，则当ARP报文因不匹配绑定表而被丢弃的数量超过了告警阈值时，Switch会发出告警通知管理员。

10、ARP防网关冲突

如下图1所示，攻击者B将伪造网关的ARP报文发送给用户A，使用户A误以为攻击者即为网关。用户A的ARP表中会记录错误的网关地址映射关系，使得用户A跟网关的正常数据通信中断。

图1 ARP网关冲突

为了防范攻击者仿冒网关，可以在网关设备上使能ARP防网关冲突功能。当设备收到的ARP报文存在下列情况之一：

ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同

ARP报文的源IP地址是入接口的虚拟IP地址，但ARP报文源MAC地址不是VRRP虚MAC（见后面说明）

    设备就认为该ARP报文是与网关地址冲突的ARP报文，设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样可以防止与网关地址冲突的ARP报文在VLAN内广播。

此时，还可以在设备上使能发送免费ARP报文功能，通过广播发送正确的免费ARP报文到所有用户，迅速将已经被攻击的用户记录的错误网关地址映射关系修改正确。

说明：

一个VRRP备份组，被当作一个共享局域网内主机的缺省网关，即虚拟交换机。一个虚拟交换机拥有一个VRRP虚MAC，VRRP虚MAC根据虚拟交换机ID生成，格式为：00-00-5E-00-01-{VRID}(VRRP)。当虚拟交换机回应ARP请求时，使用的是VRRP虚MAC地址，而不是接口的真实MAC地址。

11、发送免费ARP报文

如3步中图1所示，Attacker仿冒网关向UserA发送了伪造的ARP报文，导致UserA的ARP表中记录了错误的网关地址映射关系，从而正常的数据不能被网关接收。

为了避免上述危害，可以在网关设备上部署发送免费ARP报文功能，定期更新用户的ARP表项，使得用户ARP表项中记录的是正确的网关MAC地址。

12、ARP报文内MAC地址一致性检查

ARP报文内MAC地址一致性检查功能主要应用于网关设备上，可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同的ARP攻击。

部署本功能后，网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同，则认为是攻击报文，将其丢弃；否则，继续进行ARP学习。

13、ARP报文合法性检查

ARP报文合法性检查功能可以部署在接入设备或网关设备上，用来对MAC地址和IP地址不合法的报文进行过滤。设备支持以下三种可以任意组合的检查。

1、源MAC地址检查：

设备会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致，一致则认为合法，否则丢弃报文；

2、目的MAC地址检查：

设备会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致，一致则认为合法，否则丢弃报文；

3、IP地址检查：

设备会检查ARP报文中的源IP和目的IP地址，全0、全1、或者组播IP地址都是不合法的，需要丢弃。对于ARP应答报文，源IP和目的IP地址都进行检查；对于ARP请求报文，只检查源IP地址。

14、DHCP触发ARP学习

在DHCP用户场景下，当DHCP用户数目很多时，设备进行大规模ARP表项的学习和老化会对设备性能和网络环境形成冲击。

为了避免此问题， 可以在网关设备上部署DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址，网关设备会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。该功能生效的前提是使能DHCP Snooping功能。

网关设备上还可同时部署动态ARP检测功能，防止DHCP用户的ARP表项被伪造的ARP报文恶意修改。

15、VPLS网络中ARP代理

在VPLS网络中，为了防止PW（Pseudo Wire）侧的伪造ARP报文被广播到AC（Attachment Circuit）侧形成ARP欺骗攻击，可以在PE设备上部署VPLS网络中的ARP代理功能，以及VPLS网络中的DHCP Snooping功能。

部署上述功能后，PW侧的ARP报文将会被上送到主控板进行处理：

如果是ARP请求报文，并且报文的目的IP地址在DHCP Snooping绑定表中存在，则设备根据DHCP Snooping绑定表组装ARP应答报文直接回应PW侧的请求方。