一、介绍

ARP（地址解析协议）泛洪攻击是一种网络攻击手法，利用 ARP 协议的工作方式来实施。ARP 协议用于将 IP 地址映射到 MAC 地址，以便在局域网中发送数据包。ARP 泛洪攻击的基本原理是向网络中广播大量伪造的 ARP 请求，欺骗目标主机将其 ARP 缓存表中的 IP 地址映射到攻击者控制的 MAC 地址上，导致数据包被发送到错误的目标，从而实现网络中断或拒绝服务（DoS）的攻击目的。

攻击者通过 ARP 泛洪攻击可以实现以下目的：

1. 中断网络通信：通过欺骗网络中的设备，使其无法正确识别其他设备的 MAC 地址，导致网络通信中断。

2. 中间人攻击：攻击者可以利用 ARP 泛洪攻击将自己的 MAC 地址欺骗成网关或其他关键设备的 MAC 地址，从而截取、篡改或窃取数据包，实施中间人攻击。

3. 网络信息收集：通过监视网络中的 ARP 请求和响应，攻击者可以收集有关网络拓扑和设备信息的情报，为进一步攻击或渗透做准备。

为了防御 ARP 泛洪攻击，可以采取以下措施：

1. ARP 防护机制：使用 ARP 防护技术，如静态 ARP 表、动态 ARP 检测等，限制 ARP 请求和响应的数量，防止网络被洪水攻击。

2. 网络流量过滤：在网络边界部署防火墙、入侵检测系统（IDS）等设备，对异常的 ARP 请求进行过滤和监测。

3. 安全策略：采用网络安全策略，限制网络设备之间的通信权限，阻止不必要的 ARP 请求和响应。

4. 更新设备软件：及时更新网络设备的软件和固件，修补已知的 ARP 协议漏洞，提高系统的安全性和稳定性。

综上所述，ARP 泛洪攻击是一种常见的网络攻击手法，对网络安全构成威胁。通过采取有效的防御措施和安全策略，可以有效地减少 ARP 泛洪攻击的风险。

二、搭建实验环境

使用 eNSP 搭建以下环境

1. 先增加一个 UDP

2. 在绑定信息中选择 VMnet8，点击增加

3. 在下面表格中选择刚添加的 VMnet，端口映射设置中将出端口编号改为 2，勾选双向通道

配置路由器接口 IP 地址

两台路由器互相 Ping 通 

三、攻击

现在模拟攻击者发起攻击（需将网络改为 VMnet8） 

再来查看 MAC 地址表发现大量无效 MAC 地址

四、防御措施一：配置静态 MAC 地址

先开启端口安全功能

[S1-GigabitEthernet0/0/3]port-security enable

mac-address：配置允许通过端口的静态 MAC 地址。

案例：配置允许通过端口的静态 MAC 地址为 0011-2233-4455：

[S1-GigabitEthernet0/0/3]port-security mac-address 0011-2233-4455

五、防御措施二：配置允许学习最大 MAC 地址数

先开启端口安全功能

[S1-GigabitEthernet0/0/3]port-security enable

max-mac-num：配置端口允许学习的 MAC 地址的最大数量。

案例：配置端口允许学习的 MAC 地址的最大数量为 10 个：

[S1-GigabitEthernet0/0/3]port-security max-mac-num 10

可以发现 MAC 地址表中学习到的地址固定到了 10 个，同时咱们还能配置超出端口允许学习的 MAC 地址数量时的动作

protect-action：配置当超出端口允许学习的 MAC 地址数量时采取的动作。动作可以是报警、关闭端口或者丢弃数据包。 

protect：超出端口允许学习的 MAC 地址数量时，直接丢弃数据包，不产生任何警告。

案例：配置超出端口允许学习的 MAC 地址数量时直接丢弃数据包：

[S1-GigabitEthernet0/0/3]port-security protect-action protect

restrict：超出端口允许学习的 MAC 地址数量时，丢弃数据包并产生警告信息。

案例：配置超出端口允许学习的 MAC 地址数量时丢弃数据包并产生警告信息：

[S1-GigabitEthernet0/0/3]port-security protect-action restrict

shutdown：超出端口允许学习的 MAC 地址数量时，关闭该端口，禁止数据流通过。

案例：配置超出端口允许学习的 MAC 地址数量时关闭该端口：

[S1-GigabitEthernet0/0/3]port-security protect-action shutdown