H3C-5500S ARP速率超过端口限制

请问如何确认是否有ARP攻击？需要用什么工具吗

抓包看看arp报文 是否相同源mac一直在发arp报文，或者arp报文有哪些异常 也可以配置这个命令看看有无日志产生： 1.3 源MAC地址固定的ARP攻击检测配置命令 1.3.1 arp anti-attack source-mac 【命令】 arp anti-attack source-mac { filter | monitor } undo arp anti-attack source-mac [ filter | monitor ] 【视图】 系统视图 【缺省级别】 2：系统级 【参数】 filter：检测到攻击后，打印Log信息，同时对该源MAC地址对应的ARP报文进行过滤。 monitor：检测到攻击后，只打印Log信息，不对该源MAC地址对应的ARP报文进行过滤。 【描述】 arp anti-attack source-mac命令用来使能源MAC地址固定的ARP攻击检测功能，并选择检查模式。undo arp anti-attack source-mac命令用来恢复缺省情况。 缺省情况下，源MAC地址固定的ARP攻击检测功能处于关闭状态。 使能源MAC地址固定的ARP攻击检测之后，该特性会对上送CPU的ARP报文按照源MAC地址和VLAN进行统计。当在一定时间（5秒）内收到某固定源MAC地址的ARP报文超过设定的阈值，不同模式的处理方式存在差异：在filter模式下会打印Log信息并对该源MAC地址对应的ARP报文进行过滤；在monitor模式下只打印Log信息，不过滤ARP报文。 需要注意的是，如果undo命令中没有指定检查模式，则关闭任意检查模式的源MAC地址固定的ARP攻击检测功能。 【举例】 # 使能源MAC地址固定的ARP攻击检测功能，并选择filter检查模式。 <Sysname> system-view [Sysname] arp anti-attack source-mac filter 1.3.2 arp anti-attack source-mac aging-time