遇到ARP欺骗攻击，咋整？别慌！这3招教制服它！

攻击简介

如图1-1所示，局域网中UserA、UserB、UserC等用户通过Switch接入连接到Gateway访问Internet。

图1-1 ARP欺骗攻击组网

正常情况下，UserA、UserB、UserC上线之后，通过相互之间交互ARP报文，UserA、UserB、UserC和Gateway上都会创建相应的ARP表项。此时，如果有攻击者Attacker通过在广播域内发送伪造的ARP报文，篡改Gateway或者UserA、UserB、UserC上的ARP表项，Attacker可以轻而易举地窃取UserA、UserB、UserC的信息或者阻碍UserA、UserB、UserC正常访问网络。

现象描述

局域网内用户时通时断，无法正常上网。网络设备会经常脱管，网关设备会打印大量地址冲突的告警。

定位思路

定位手段	命令	适用版本形态
查看日志信息	display logbuffer	V100R006C05版本以及之后版本

交换机做网关，如果攻击源发送假冒网关的ARP报文经过网关交换机时，报文会上送交换机的CPU处理，交换机在检测到网关冲突的同时记录日志.
执行命令display logbuffer查看日志信息。日志信息如下所示，其中MacAddress代表攻击者的MAC地址.

ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])

根据日志信息记录的攻击者的MAC地址查找MAC地址表，从而获取到攻击源所在的端口，通过网络进一步排查，进一步定位出攻击源，查看是否中毒所致。

交换机做网关，如果攻击源发送假冒网关的ARP报文不经过网关交换机，直接在交换机的下游转发到用户，则需要在下层网络排查。例如，可以在终端上使用报文解析工具（比如wireshark）解析网关回应的ARP报文，如果解析出来的MAC地址不是网关的MAC地址，则代表终端遭遇攻击，其中解析出来的MAC地址即为攻击者MAC地址。如果解析出来的mac是网关的MAC地址，但是IP不是网关IP，则是模拟网关的MAC攻击，接入交换机上应该会有MAC漂移，根据漂移端口排查攻击源。

问题根因

1、终端中毒。

2、攻击者将主机地址设为网关地址。

处理步骤

方法	优点	缺点
配置黑名单	基于黑名单丢弃上送CPU的报文	需先查到攻击源
配置黑洞MAC	丢弃该攻击源发的所有报文，包括转发的报文	需先查到攻击源
配置防网关冲突攻击功能	收到具有相同源MAC地址的报文直接丢弃	需本设备做网关

方法一： 可以在用户允许的情况下，直接在交换机上配置黑名单过滤攻击源的源MAC地址。

[HUAWEI] acl 4444
[HUAWEI-acl-L2-4444] rule permit l2-protocol arp source-mac 1-1-1
[HUAWEI-acl-L2-4444] quit
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] blacklist 1 acl 4444

接下来应用防攻击策略policy1，关于防攻击策略的应用，请参见3.1 应用防攻击策略。

方法二： 更严厉的惩罚措施可以将攻击者的MAC配置成黑洞MAC，彻底不让该攻击者上网。

[HUAWEI] mac-address blackhole 1-1-1 vlan 3

方法三： 可以在交换机上配置防网关冲突功能（该功能要求交换机必须做网关），ARP网关冲突防攻击功能使能后，系统生成ARP防攻击表项，在后续一段时间内对收到具有相同源MAC地址的报文直接丢弃，这样可以防止与网关地址冲突的ARP报文在VLAN内广播。

学习资源

如果你是也准备转行学习网络安全（黑客）或者正在学习，这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你

知识库由360智榜样学习中心独家打造出品，旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力，熟练掌握基础攻防到深度对抗。

1、知识库价值

深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。

实战性： 知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。

2、 部分核心内容展示

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

内容组织紧密结合攻防场景，辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合，是你学习过程中好帮手。

1、网络安全意识

2、Linux操作系统

3、WEB架构基础与HTTP协议

4、Web渗透测试

5、渗透测试案例分享

6、渗透测试实战技巧

7、攻防对战实战

8、CTF之MISC实战讲解

3、适合学习的人群

‌一、基础适配人群‌

1. ‌零基础转型者‌：适合计算机零基础但愿意系统学习的人群，资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌；
2. ‌开发/运维人员‌：具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能，实现职业方向拓展‌或者转行就业；
3. ‌应届毕业生‌：计算机相关专业学生可通过资料构建完整的网络安全知识体系，缩短企业用人适应期‌；

‌二、能力提升适配‌

1、‌技术爱好者‌：适合对攻防技术有强烈兴趣，希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌；

2、安全从业者‌：帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌；

3、‌合规需求者‌：包含等保规范、安全策略制定等内容，适合需要应对合规审计的企业人员‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

文章来自网上，侵权请联系博主

本文转自 https://blog.csdn.net/yy17111342926/article/details/153867796?spm=1001.2014.3001.5502，如有侵权，请联系删除。