评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
免费ARP报文主动丢弃
免费ARP报文是一种特殊的ARP报文,该报文中携带的源IP地址和目的IP地址都是本机IP地址,源MAC地址是本机MAC地址,目的MAC地址是广播地址。当有新的用户主机接入网络时,该用户主机会以广播的方式发送免费ARP报文,来确认广播域中有无其他设备与自己的IP地址冲突;当用户主机改变了硬件地址时,为了能够在其他所有用户主机的ARP表项老化之前通告其硬件地址已经发生改变,该用户主机也会发送免费ARP报文。
由于发送免费ARP报文的用户主机并不需要经过身份验证,任何一个用户主机都可以发送免费ARP报文,这样就引入了两个问题:
- 如果网络中出现大量的免费ARP报文,设备会因为处理这些报文而导致CPU负荷过重,从而不能正常处理合法的ARP报文。
- 如果设备处理的免费ARP报文是攻击者伪造的,会造成设备错误地更新ARP表项,导致合法用户的通信流量发生中断。
参考以上问题描述,在确认攻击来自免费ARP报文之后,可以在网关设备上使能免费ARP报文主动丢弃功能,使网关设备直接丢弃免费ARP报文。
当有主机更新了硬件地址并重新接入网络(如主机关机后更换了接口卡并重新启动,或双机热备份系统中主用设备发生故障,备用设备接管)时,如果设备开启了免费ARP报文主动丢弃功能,可能会导致其他网络设备因无法正常更新相应的ARP表项而无法与该主机建立正常通信。
