ARP欺骗防不住？交换机配置好这几项，内网安全立马不一样(arp欺骗如何解决)

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

在内网里搞破坏，最常见的攻击方式就是ARP欺骗了。

ARP欺骗攻击组网

它不需要特别高级的黑客技术，只要有访问权限，几行命令就能轻松伪装网关、劫持流量，甚至让整个局域网瘫痪。

别以为你把网关设好了，启用了静态IP就安全了，只要ARP欺骗没防住，数据该去哪儿就能被拦到哪儿。

那问题来了：

在交换机侧，怎么部署才真正能防住ARP欺骗？

答案其实很明确：三板斧——动态ARP检测（DAI）+ IP-MAC绑定（静态绑定）+ DHCP Snooping。

只要这几项配对了，绝大部分ARP攻击在你网里根本施展不开。

今天我们就来一次梳理，把交换机侧能做的ARP防御手段讲透，不仅要知道原理，更要懂怎么配置、怎么部署、怎么判断是否生效。

ARP是二层协议，作用是将IP地址解析成MAC地址，而ARP欺骗攻击的本质就是：发伪造的ARP响应，把目标设备的IP-MAC映射篡改了。

比如：

• 攻击者伪装成网关（发送我就是192.168.1.1，这里是我的MAC），让PC把网关指向他；
• 攻击者伪装成目标PC，拦截/中转数据包，搞中间人攻击；
• 大规模发虚假ARP广播，造成交换机学习错误的MAC，内网乱套，Ping网关不通，访问不上外网。

ARP攻击的最大问题就是“无感知”：

你抓不到攻击者在哪儿，只看现象就是“网慢”“断流”“网关不通”，误判率极高。

所以防御要靠交换机来控制。

ARP是无验证的，设备谁都可以发。所以：

• 要想控制ARP，就得靠交换机；
• 要让交换机知道“谁发的ARP是可信的”，谁是假的。

这就有了下面三个核心机制：

作用：记录哪个MAC从哪个接口、通过DHCP获取了哪个IP。

一旦有了这个记录，后续的ARP报文交换机就能比对：你说你是192.168.1.100，MAC也对上了，来源接口也是你，那没问题；但你要是MAC错了，接口不对了，就拦！

system-view

dhcp snooping

dhcp snooping enable

interface GigabitEthernet0/0/1

dhcp snooping trust # 网关、DHCP服务器口设为 trust

interface GigabitEthernet0/0/2

undo dhcp snooping trust # 普通用户口设为非信任

配置完成后，设备会自动学习绑定关系：

display ip source binding

DAI就是专门配合DHCP Snooping使用的，它在收到ARP报文时，会对照绑定表来判断报文是否合法。

• 收到ARP请求或响应；
• 拿报文中的IP+MAC+VLAN+接口信息去比对绑定表；
• 不符合的报文直接丢掉，记录日志、触发告警。

system-view

arp detection enable

interface GigabitEthernet0/0/2

arp detection trust # 接口是否启用ARP报文校验

还可以做细粒度配置，比如只检测ARP响应，忽略请求：

arp detection validate check ip mac

有些办公设备、摄像头不走DHCP，无法生成自动绑定记录怎么办？

很简单，手工绑定。

arp static 192.168.1.100 00e0-fc12-3456 vlan 10 interface GigabitEthernet0/0/2

或者：

ip source binding 192.168.1.100 00e0-fc12-3456 GigabitEthernet0/0/2 vlan 10

这就把某IP与某MAC、某端口绑定死了，非它不可用。

如果内网还有异常ARP包刷屏，建议再加一手ARP速率限制：

interface GigabitEthernet0/0/2

arp rate-limit 10 5 # 每秒10个包，突发5个

此外还可以结合广播风暴抑制：

storm-control broadcast cir 128

Tip：

防ARP，不是只靠交换机设置，网关配置、主机网卡设置也需要配合，比如禁止自动响应ARP请求。

交换机侧防ARP的核心就是“让ARP不能随便发、随便改、随便信”，该验证的要验证，该信任的要设 trust，该封死的要绑定清楚。

只要 DHCP Snooping + DAI + 静态绑定这三件事配合到位，ARP欺骗的空间就几乎为零。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部