1、什么是arp攻擊？
arp攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現arp欺騙，能夠在網(wǎng)絡(luò )中產(chǎn)生大量的arp通信量使網(wǎng)絡(luò )阻塞，攻擊者只要持續不斷的發(fā)出偽造的arp響應包就能更改目標主機arp緩存中的IP-MAC條目，造成網(wǎng)絡(luò )中斷或中間人攻擊。
當局域網(wǎng)內某臺主機運行arp欺騙的木馬程序時(shí)，會(huì )欺騙局域網(wǎng)內所有主機和交換機，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機。其他用戶(hù)原來(lái)直接通過(guò)交換機上網(wǎng)轉由通過(guò)病毒主機上網(wǎng)，切換的時(shí)候用戶(hù)會(huì )斷一次線(xiàn)。

2、卓越信通TSC系列工業(yè)以太網(wǎng)交換機如何預防arp攻擊？
個(gè)人用戶(hù)利用安裝終端arp防火墻和殺毒軟件可以預防arp攻擊，但是此防御措施無(wú)法避免外來(lái)用戶(hù)的侵入或大面積網(wǎng)絡(luò )出現通信中斷及無(wú)法訪(fǎng)問(wèn)互聯(lián)網(wǎng)的情況。此時(shí)我們可以利用交換機的MAC-IP地址綁定做好攻擊預防，其中TSC系列工業(yè)以太網(wǎng)交換機的PT、Carat、Comet等產(chǎn)品系列均可以做到這一點(diǎn)。
具體配置如下：interface Fa0/1
switchport port-security bingip mac
這樣做了以上配置后，偽裝的MAC或IP的數據報文會(huì )被過(guò)濾掉，大大減少了攻擊的隱患。

3、當arp攻擊發(fā)生了的情況，如何利用交換機查找arp攻擊源？
以下是某個(gè)網(wǎng)絡(luò )系統上發(fā)生的arp攻擊案例，現場(chǎng)利用PT35系列交換機查找攻擊源，步驟如下：
（1）現象描述：
首先通過(guò)現場(chǎng)上網(wǎng)行為管理設備查到一些綁定的IP和MAC地址不一致，且這些地址的MAC是同一個(gè)MAC（不是真正機器的MAC地址），此時(shí)這些PC上不去網(wǎng)。
（2）分析原因：此現象為arp攻擊
（3）解決方法：
1）首先通過(guò)上網(wǎng)行為管理查到一些IP地址共同對應的MAC地址記下來(lái)；
2）其次登錄到中心交換機里面（之前的交換機配置中提到了如何登陸到交換機，如果攻擊的對象一直攻擊，它的MAC地址就一直存在）；
PT35>enable
PT35#show mac address-table | beginxx-xx-xx-xx-xx-xx （有問(wèn)題的MAC地址）



出現以上信息的話(huà)，可以了解到vlan 706只在g8/2被允許通過(guò)，所以接下來(lái)在g8/2下的所有的交換機下面首先登陸到172.30.106.2與中心直連的交換機車(chē)站地址進(jìn)行配置：
PT35-1#show mac address-table | beginxx-xx-xx-xx-xx-xx
此時(shí)可以看到此MAC地址從哪個(gè)端口學(xué)習過(guò)來(lái)的以此向下面的交換機執行此命令知道交換機下面的MAC地址對應的端口為除G1/1,G1/2，G2/1，G2/2（這幾個(gè)端口問(wèn)trunk口屬于交換機級聯(lián)端口）端口以外的端口的時(shí)候停止，此端口就是攻擊的端口，把端口應該shutdown ，然后再找到此設備進(jìn)行終端排查。
以下為找到了攻擊源所在的交換機：
Switch>enable
Switch#
Switch#config
Switch_config#interfaceFastEthernet0/1
Switch_config_F0/1#shutdown