遇到ARP泛洪攻击，怎么破？攻击简介如下图所示

攻击简介
如下图所示，局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet 。当网络中出现过多的ARP报文时，会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。另一方面，网络中过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。

文章图片
现象描述
网络设备CPU占有率较高，正常用户不能学习ARP甚至无法上网。
Ping不通。
网络设备不能管理。定位思路定位手段命令行适用版本形态查看ARP临时表项displayarpV100R006C05版本以及之后版本查看arp-request的CPCAR计数displaycpu-defendstatisticspacket-typearp-requestallV100R006C05版本以及之后版本查看攻击溯源结果displayauto-defendattack-source[slotslot-id]V200R003版本以及之后版本
步骤1执行命令displayarp查看受影响用户的ARP是否学习不到。
如果MACADDRESS字段显示为Incomplete ，表示有ARP学习不到，有可能设备遭受ARP攻击。

文章图片
步骤2由于有未学习到的ARP表项，执行命令displaycpu-defendstatisticspacket-typearp-requestall查看上送CPU的ARP-Request报文统计信息，判断设备是否遭受攻击，下述回显发现4号单板上存在大量ARP-Request报文丢包。

文章图片
?
说明：该命令可以查看多次，比如1秒执行一次，查看多次执行的结果。如上显示，如果Drop(Packets)计数增加很快，比如1秒钟Drop上百个，这说明设备正在遭受ARP攻击，上送的ARP报文已经超过了设备配置的CPCAR范围，攻击ARP报文可能已经挤掉了正常ARP报文，则部分ARP可能学习不到。步骤3确认攻击源，通过攻击溯源功能识别攻击源。
首先在系统视图下配置防攻击策略：
[HUAWEI]cpu-defendpolicypolicy1
[HUAWEI-cpu-defend-policy-policy1]auto-defendenable
[HUAWEI-cpu-defend-policy-policy1]auto-defendattack-packetsample5
[HUAWEI-cpu-defend-policy-policy1]auto-defendthreshold30???
[HUAWEI-cpu-defend-policy-policy1]undoauto-defendtrace-typesource-portvlan??//
auto-defendenable后，缺省情况下溯源类型为source-mac、source-ip和source-portvlan ， source-portvlan粒度太大，所以去使能source-portvlan
[HUAWEI-cpu-defend-policy-policy1]undoauto-defendprotocoldhcpicmpigmptcptelnetttl-expiredudp//auto-defendenable后，缺省情况下攻击溯源的协议类比较多，这里只保留arp报文攻击溯源，如果有其它协议也需要攻击溯源，则不要undo掉
接下来应用防攻击策略policy1
最后通过命令displayauto-defendattack-sourceslot4查看攻击源的MAC地址。 ?问题根因
1.由于终端中毒频繁发送大量ARP报文。
2.下挂网络成环产生大量的ARP报文。处理步骤步骤1在接口下配置ARP表项限制。
设备支持接口下的ARP表项限制，如果接口已经学习到的ARP表项数目超过限制值，系统不再学习新的ARP表项，但不会清除已经学习到的ARP表项，会提示用户删除超出的ARP表项。
配置命令如下：
system-view
[HUAWEI]interfacegigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1]arp-limitvlan10maximum20
步骤2配置针对源IP地址的ARP报文速率抑制的功能。
在一段时间内，如果设备收到某一源IP地址的ARP报文数目超过设定阈值，则不处理超出阈值部分的ARP请求报文。
system-view
[HUAWEI]arpspeed-limitsource-ip10.0.0.1maximum50?
说明：缺省情况下，对ARP报文进行时间戳抑制的抑制速率为5pps ，即每秒处理5个ARP报文。步骤3根据排查出的攻击源MAC配置黑名单过滤掉攻击源发出的ARP报文。 [HUAWEI]acl4444