MAC地址Flood 和 ARP Flood 虽然都是二层攻击,但攻击目标和机制不同,涉及的表项也不一样。下面我来帮你彻底理清它们的区别:
🧠 MAC地址表 vs ARP表:核心区别
| 项目 | MAC地址表(CAM表) | ARP表 |
|---|
| 作用层级 | 二层交换(数据链路层) | 三层通信(网络层) |
| 存储内容 | MAC地址 ↔ 端口映射 | IP地址 ↔ MAC地址映射 |
| 维护设备 | 交换机 | 路由器或三层交换机 |
| 用途 | 决定数据帧从哪个端口转发 | 决定IP包封装到哪个MAC地址 |
| 学习方式 | 交换机自动学习源MAC地址 | 主机或网关通过ARP协议学习 |
💣 MAC Flood 攻击
- 目标:交换机的 MAC 地址表(CAM表)
- 原理:攻击者伪造大量不同源MAC地址的数据包,发送到交换机
- 结果:
- MAC表溢出,交换机无法维护准确的端口映射
- 所有帧转为广播,攻击者可嗅探其他主机通信内容
- 防护方法:
- 启用端口安全(Port Security)
- 限制每端口可学习的MAC数量
- 启用MAC地址绑定或动态黑名单
💣 ARP Flood 攻击
- 目标:主机或网关的 ARP表
- 原理:攻击者发送大量伪造ARP请求或响应,污染ARP缓存
- 结果:
- ARP表溢出或被污染,导致通信异常或中断
- CPU资源被ARP处理耗尽
- 防护方法:
- 启用ARP速率限制
- 配置静态ARP绑定
- 启用DAI(动态ARP检查)+ DHCP Snooping
- 启用网关保护功能
🔍 总结对比图
| 项目 | MAC Flood | ARP Flood |
|---|
| 攻击目标 | 交换机的MAC地址表 | 主机/网关的ARP表 |
| 危害 | 广播泛滥、嗅探通信 | 通信中断、ARP欺骗 |
| 防护重点 | 限制MAC学习、端口安全 | ARP速率限制、ARP验证机制 |
| 涉及设备 | 二层交换机 | 三层设备或主机 |
