防止ARP泛洪攻擊可以通過以下幾種方法實現:
ARP報文限速。配置設備根據源MAC地址或源IP位址對ARP報文進行限速,這樣可以防止設備因處理大量ARP報文而導致的CPU負荷過重。例如,可以配置設備在1秒內最多允許接收50個ARP報文,如果超過這個閾值,設備將持續丟棄超出部分的ARP報文。
ARP表項限制。設備可以基於接口限制學習ARP表項的總數目,這樣可以防止ARP表項溢出,保證ARP表項的安全性。例如,可以配置設備在GE1/0/1接口上在1秒鐘內最多允許50個ARP報文通過,如果超過這個閾值,設備將阻塞攻擊連線埠的ARP報文一段時間。
ARP表項嚴格學習。設備可以僅學習本端傳送的ARP請求報文的應答報文,不學習其他設備向交換機傳送的ARP請求報文和非本端傳送的ARP請求報文的應答報文。這樣可以拒絕掉ARP請求報文攻擊和非自己傳送的ARP請求報文對應的應答報文攻擊。
ARP連線埠級防護。設備可以基於連線埠對ARP上送速率進行監控,當某連線埠ARP上送控制面報文速率超過特定閾值時,可以將該連線埠的ARP報文通過單獨通道上送控制面,避免攻擊影響正常的ARP報文。
通過這些措施,可以有效防止ARP泛洪攻擊帶來的ARP表項資源被無效ARP條目耗盡、CPU負荷過重等問題,保障網路的正常運行。