关于ARP的求助问题（新手自学中，请多指教）

iviper

小弟在自学HCNA中，学习到ARP中遇到一个问题，想请教大家，再次谢过了。二个问题：首先：ARP静态和动态已经理解了，但通过数据抓包时，为何wireshark中没有显示arp信息？其次：为了防止arp病毒攻击，前期我如何确保arp静态地址正确的配置与维护？

hsqiyaqiang

1、wireshark没有显示的原因无非有二，其一你的设备已经学习到该IP地址所对应的Mac地址，在ARP表项老化时间之内，重复Ping目的IP不会发送ARP请求；其二你安装的wireshark有问题或是信息太多你没找到，筛选一下

2、首先ARP攻击并不一定是病毒攻击，有可能是误操作导致，比如我手动将我的IP改为网关的IP，广播发送的这份免费ARP就可能被安全设备报出ARP网关欺骗，但实际不是。

防止ARP欺骗攻击的思路大体有三
1、全网配置静态ARP（纯手工工作量大，可结合一些安全技术，例如DHCP Snooping的绑定表来实现半自动，Snooping绑定表 + DAI的手段可以有效防止ARP攻击，还可以结合IP源防护实现全网动态IP分配）

2、但凡ARP欺骗，其ARP报文发送频率会很高，接口限制下单位时间能接收到的ARP报文总量也可以防止泛洪性质的攻击，超过既惩罚；部分安全产品可以限制一个MAC地址只能拿到一个IP地址，可以防止单MAC的DOS性质的攻击（例如防火墙是网关的场合）

3、二层部署流量镜像，并进行抓包，人为判断是否存在攻击行为


搞安全，底层设备一定要好，否则做不干净，只在网关做安全，二层会全失守，就算网关做了全网静态ARP，也不能保证下游PC一定能拿到想要的IP地址，攻击者只需要占着IP发送免费arp的应答，在二层未隔离的情况下，PC会根据window系统的故障转移机制拿到169.254的IP地址

jujumao1202

看看其他人怎么说？

iviper

hsqiyaqiang 发表于 2018-5-14 15:02
1、wireshark没有显示的原因无非有二，其一你的设备已经学习到该IP地址所对应的Mac地址，在ARP表项老化时间 ...

多谢您的回答与帮助，目前我还是看不懂，但我会继续努力学习。再次表示感谢！！