如图16-2所示，局域网中UserA、UserB、UserC等用户通过Switch接入连接到Gateway访问Internet。

正常情况下，UserA、UserB、UserC上线之后，通过相互之间交互ARP报文，UserA、UserB、UserC和Gateway上都会创建相应的ARP表项。此时，如果有攻击者Attacker通过在广播域内发送伪造的ARP报文，篡改Gateway或者UserA、UserB、UserC上的ARP表项，Attacker可以轻而易举地窃取UserA、UserB、UserC的信息或者阻碍UserA、UserB、UserC正常访问网络。

局域网内用户时通时断，无法正常上网。网络设备会经常脱管，网关设备会打印大量地址冲突的告警。

定位手段

命令行

适用版本形态

查看日志信息

display logbuffer

V100R006C05版本以及之后版本

根据日志信息记录的攻击者的MAC地址查找MAC地址表，从而获取到攻击源所在的端口，通过网络进一步排查，进一步定位出攻击源，查看是否中毒所致。

方法

优点

缺点

配置黑名单

基于黑名单丢弃上送CPU的报文

需先查到攻击源

配置黑洞MAC

丢弃该攻击源发的所有报文，包括转发的报文

需先查到攻击源

配置防网关冲突攻击功能

收到具有相同源MAC地址的报文直接丢弃

需本设备做网关

配置DAI功能

对ARP报文基于绑定表做合法性检查，非法的报文不会学习ARP，也会丢弃。建议在接入设备部署

需要将报文上送到CPU处理，会消耗一定的CPU资源，需要跟DHCP SNOOPING一起使用。

配置网关保护功能

对仿冒网关的ARP报文直接丢弃，不会转发到其他设备或者网关

占用一定的ACL资源，需要在接入设备部署

接下来应用防攻击策略policy1，关于防攻击策略的应用，请参见附录：应用防攻击策略。