arp miss

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了arp miss相关的知识,希望对你有一定的参考价值。

设备在转发报文时,如果报文的目的地址和设备三层接口地址在同一个网段,正常情况下会查找arp进行直接转发,如果查找不到arp表项,就会上送CPU触发ARP-MISS流程来学习ARP。

 

上层软件收到ARP Miss消息后,首先生成一个ARP假表项发送给设备,防止相同的ARP Miss消息不断上报;然后上层软件发送ARP请求报文,在收到回应后,用学习到的ARP表项替换原有的假表项发送给设备,流量可以正常转发。

动态ARP假表项有一个老化时间,在老化时间之内,设备不再向上层软件发送ARP Miss消息。老化时间超时后,假表项被清除,设备转发时再次匹配不到对应的ARP表项,重新生成ARP Miss消息上报给上层软件。如此循环重复。

 

对于同一个源IP发送的触发ARP-MISS流程报文,一秒钟内如果超过门限值(默认为5个),系统会认为这是一种非法的攻击报文,就会针对该ip地址下发一条ACL规则,丢弃该源IP发送的所有需要上送CPU处理的报文;如果50s之内系统没有再次检测到该源ip发送的报文有arp-miss超过门限的情况,该ACL规则会自动删除,触发arp-miss流程的报文可以继续上送CPU处理。

以上是关于arp miss的主要内容,如果未能解决你的问题,请参考以下文章

如何进行ARP欺骗攻击

如何用arp命令添加一项静态ARP缓存

arp协议访问大部分注册表吗

弱弱的问下linux如何清理arp缓存

arp断网攻击怎么彻底解决(arp断网攻击怎么解决)

ARP原理和ARP攻击