2025年网络工程师考点答疑：snooping防护

信管网考友：

老师，我想问一下关于snooping防护的问题，我看有arp snooping、dhcpsnooping、dns snooping，这些都是防护泛洪攻击的吗?

dhcp服务器冒充、dns劫持这些可以用snooping来防护吗?

还有arp snooping是不是关于特定的泛洪攻击都可以用snooping防护来回答?

信管网答疑老师：

ARP Snooping：主要用于防范ARP欺骗攻击。

DHCP Snooping：主要针对DHCP泛洪攻击和非法DHCP服务器。

DNS Snooping：通常指DNS防火墙或DNS过滤功能，主要用于防护DNS欺骗攻击和DNS泛洪攻击。

DHCP Snooping和DNS Snooping能直接防护泛洪攻击，而ARP Snooping的核心是防欺骗，对泛洪攻击仅有辅助防护作用。

有一些差别，不过考试时候都可以写上。

信管网考友：

那TCP flooding和UDP flooding应该怎么防护呢?

信管网答疑老师：

使用专业的流量清洗服务;部署流量清洗设备;部署防火墙和入侵防御系统 ;关闭不必要的端口或服务，这些都可以。