ARP 丢失攻击

机房一台交换机由思科更换为华为后，总是报出ARP Miss Attack的告警。

我们可以用下面的指令来观察ARP丢失攻击的程度。

先重置计数器

等待一分钟后，查看统计值

丢包的数量越大于通过包的数量，攻击的越剧烈。

查看arp表中 Incomplete 的个数，一般不超过10个，越多代表攻击的强度越大。

应对办法通常有四个：

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（

IP层，也就是相当于OSI的第三层）地址解析为数据链路层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP攻击的局限性

ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行。

无法对外网（互联网、非本区域内的局域网）进行攻击。

一般的话最终的解决办法就是把自己的IP地址和电脑的物理地址静态帮定，因为一块网卡有一个唯一的MAC地址。

如果是在windows下绑定IP，可以用arp命令。

举例：

要添加将

IP

地址

10.0.0.80

解析成物理地址

00-AA-00-4F-2A-9C

的静态

ARP

缓存项，可键入：

arp

-s

10.0.0.80

00-AA-00-4F-2A-9C

把上面的命令做成批处理命令，每次电脑启动时，均会自动运行。（把命令添加到c:\下的autoexec.bat文件中）

---