MAC Flood与ARP Flood攻击区别详解

MAC地址Flood 和 ARP Flood 虽然都是二层攻击，但攻击目标和机制不同，涉及的表项也不一样。下面我来帮你彻底理清它们的区别：

---

🧠 MAC地址表 vs ARP表：核心区别

项目	MAC地址表（CAM表）	ARP表
作用层级	二层交换（数据链路层）	三层通信（网络层）
存储内容	MAC地址 ↔ 端口映射	IP地址 ↔ MAC地址映射
维护设备	交换机	路由器或三层交换机
用途	决定数据帧从哪个端口转发	决定IP包封装到哪个MAC地址
学习方式	交换机自动学习源MAC地址	主机或网关通过ARP协议学习

---

💣 MAC Flood 攻击

• 目标：交换机的 MAC 地址表（CAM表）
• 原理：攻击者伪造大量不同源MAC地址的数据包，发送到交换机
• 结果 ：
  • MAC表溢出，交换机无法维护准确的端口映射
  • 所有帧转为广播，攻击者可嗅探其他主机通信内容
• 防护方法 ：
  • 启用端口安全（Port Security）
  • 限制每端口可学习的MAC数量
  • 启用MAC地址绑定或动态黑名单

---

💣 ARP Flood 攻击

• 目标：主机或网关的 ARP表
• 原理：攻击者发送大量伪造ARP请求或响应，污染ARP缓存
• 结果 ：
  • ARP表溢出或被污染，导致通信异常或中断
  • CPU资源被ARP处理耗尽
• 防护方法 ：
  • 启用ARP速率限制
  • 配置静态ARP绑定
  • 启用DAI（动态ARP检查）+ DHCP Snooping
  • 启用网关保护功能

---

🔍 总结对比图

项目	MAC Flood	ARP Flood
攻击目标	交换机的MAC地址表	主机/网关的ARP表
危害	广播泛滥、嗅探通信	通信中断、ARP欺骗
防护重点	限制MAC学习、端口安全	ARP速率限制、ARP验证机制
涉及设备	二层交换机	三层设备或主机

---