实际中如何应对ARP泛洪攻击

当网络中出现过多的ARP报文时，会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。另一方面，网络中过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。问题现象的描述：
1.网络设备CPU占有率较高。
2.正常用户不能学习ARP甚至无法上网。
3. Ping不通。
4. 网络设备不能管理。
一、故障定位
1.执行命令display arp查看受影响用户的ARP是否学习不到。如果MAC ADDRESS字段显示为Incomplete，表示有ARP学习不到，有可能设备遭受ARP攻击。
2.由于有未学习到的ARP表项，执行命令display cpu-defend statistics packet-type arp-request all查看上送CPU的ARP-Request报文统计信息。以此判断设备是否遭受攻击，可能发现4号单板上存在大量ARP-Request报文丢包。该命令可以查看多次，比如1秒执行一次，查看多次执行的结果。如果Drop(Packets)计数增加很快，比如1秒钟Drop上百个，这说明设备正在遭受ARP攻击，上送的ARP报文已经超过了设备配置的CPCAR范围，攻击ARP报文可能已经挤掉了正常ARP报文，则部分ARP可能学习不到。
3.确认攻击源，通过攻击溯源功能识别攻击源。首先，在系统视图下配置防攻击策略：[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] auto-defend enable
[HUAWEI-cpu-defend-policy-policy1] auto-defend attack-packet sample 5
[HUAWEI-cpu-defend-policy-policy1] auto-defend threshold 30 ???
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend trace-type source-portvlan? ?
//auto-defend enable后，缺省情况下溯源类型为source-mac、source-ip和source-portvlan，source-portvlan粒度太大，所以去使能source-port vlan
[HUAWEI-cpu-defend-policy-policy1]undo auto-defend protocol dhcp icmp igmp tcp telnet ttl- expired udp//
auto-defend enable后，缺省情况下攻击溯源的协议类比较多，这里只保留arp报文攻击溯源，如果有其它协议也需要攻击溯源，则不要undo掉。接下来，应用防攻击策略policy1。最后，通过命令display auto-defend attack-source slot
4.查看攻击源的MAC地址。
识别的MAC中可能包含网关的MAC地址或互连网络设备的MAC，需要注意剔除。通过上述的整体思路，我们终于能判断出来，问题根因就是以下两点：1.由于终端中毒频繁发送大量ARP报文。2.下挂网络成环产生大量的ARP报文。
二、ARP泛洪攻击的处理步骤
1.在接口下配置ARP表项限制。设备支持接口下的ARP表项限制，如果接口已经学习到的ARP表项数目超过限制值，系统不再学习新的ARP表项，但不会清除已经学习到的ARP表项，会提示用户删除超出的ARP表项。配置命令如下：
system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp-limit vlan 10 maximum 20
2.配置针对源IP地址的ARP报文速率抑制的功能。在一段时间内，如果设备收到某一源IP地址的ARP报文数目超过设定阈值，则不处理超出阈值部分的ARP请求报文。
system-view
[HUAWEI] arp speed-limit source-ip 10.0.0.1 maximum 50
说明：缺省情况下，对ARP报文进行时间戳抑制的抑制速率为5pps，即每秒处理5个ARP报文。
3.根据排查出的攻击源MAC配置黑名单过滤掉攻击源发出的ARP报文。
[HUAWEI] acl 4444
[HUAWEI-acl-L2-4444] rule permit l2-protocol arp source-mac 0-0-1 vlan-id 3
[HUAWEI-acl-L2-4444] quit
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] blacklist 1 acl 4444
[HUAWEI-cpu-defend-policy-policy1] quit
接下来应用防攻击策略policy1。
4.如果上述配置无法解决，比如源MAC变化或源IP变化的ARP攻击源来自某台接入设备下挂用户，在接入侧交换机上配置流策略限速，不让该接入侧设备下的用户影响整个网络。
[HUAWEI] acl 4445
[HUAWEI-acl-L2-4445] rule permit l2-protocol arp
[HUAWEI-acl-L2-4445] quit
[HUAWEI] traffic classifier policy1
[HUAWEI-classifier-policy1] if-match acl 4445
[HUAWEI-classifier-policy1] quit
[HUAWEI] traffic behavior policy1
[HUAWEI-behavior-policy1] car cir 32
[HUAWEI] traffic policy policy1
[HUAWEI-trafficpolicy-policy1] classifier policy1 behavior policy1
[HUAWEI] interface GigabitEthernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] traffic-policy policy1 inbound