Аннотация. В статье описаны результаты практического тестирования механизмов защиты от ARP-спуфинга на канальном уровне. В лабораторной среде были проверены три образца сетевого оборудования: Cisco Catalyst 2960, Eltex MES1428 и MikroTik CRS326. Экспериментально подтверждено, что включение DHCP Snooping и Dynamic ARP Inspection (DAI) на коммутаторах Cisco и Eltex обеспечивает полную блокировку подмены MAC-адресов (эффективность 100%) при росте задержки не более 10%. Для MikroTik CRS326, не поддерживающего аппаратный DAI, предложена альтернативная защита на основе режима reply-only и изоляции портов. Основная ценность работы – количественная оценка эффективности защиты: время обнаружения атаки (13–31 мс), процент фильтрации (100%), рост задержек (до 14.5%) и загрузка CPU/RAM. Дополнительно проведена оценка устойчивости защиты к обходным техникам: атакам через trusted-порт, фрагментации ARP и тайминговым атакам (burst).

Ключевые слова: ARP-spoofing, DAI, DHCP Snooping, защита канального уровня, Cisco Catalyst, MikroTik, Eltex.

Атаки на канальном уровне, в частности ARP-spoofing (подмена ARP-таблиц), остаются одной из самых распространённых угроз в локальных сетях. Согласно данным Национальной базы данных уязвимостей (NVD) [16], проблема ARP-спуфинга регулярно фигурирует в отчётах об уязвимостях сетевого оборудования. Например, уязвимость CVE-2021-27853 в коммутаторах Fortinet демонстрирует принципиальную возможность обхода механизмов фильтрации L2 в определённых реализациях. В корпоративных и промышленных сетях, особенно на объектах топливно-энергетического комплекса (ТЭК), где эксплуатируется гетерогенное коммутационное оборудование, ARP-спуфинг остаётся критической угрозой из-за отсутствия шифрования на канальном уровне.

В ходе работы было сформулировано три гипотезы для проверки эффективности защиты от ARP-спуфинга:
Гипотеза 1 (H1). Включение механизмов DHCP Snooping и Dynamic ARP Inspection (DAI) на коммутаторах Cisco Catalyst 2960 и Eltex MES1428 снижает успешность ARP-spoofing-атак до 0% (полная блокировка подмены MAC-адресов), при этом рост задержек (RTT) не превышает 10%.
Гипотеза 2 (H2). На коммутаторе MikroTik CRS326, архитектурно не поддерживающем аппаратную реализацию DAI, альтернативные методы защиты (режим reply-only на бридже, изоляция портов через горизонты) также обеспечивают снижение успешности атаки до 0%, однако ценой более высокого роста задержек (более 10%) по сравнению с Cisco и Eltex.
Гипотеза 3 (H3). Стандартная конфигурация защиты уязвима для обходных техник: ошибочное назначение доверенных портов (trusted) полностью нейтрализует защиту; тайминговые атаки (burst) требуют настройки rate-limiting; фрагментация ARP-пакетов успешно блокируется.

Результаты работы ориентированы на сегментированные промышленные сети объектов ТЭК. Полученные количественные параметры атак (время обнаружения, рост задержки, нагрузка на CPU) могут быть использованы специалистами для: обнаружения атак на основе количественных характеристик; количественного обоснования приоритезации мер защиты; верификации методов защиты на реальном оборудовании; сравнительной оценки устойчивости оборудования разных вендоров.

Проблема защиты от ARP-спуфинга широко освещена в литературе. Фундаментальный анализ ARP-уязвимостей представлен в работе Conti et al. [12], где предложена классификация методов защиты. В документации вендоров [11], [15] описаны механизмы DHCP Snooping и DAI, однако количественные оценки их эффективности отсутствуют. Большинство публикаций (например, [3], [4], [5], [8], [10]) ограничены бинарной логикой «атака прошла / не прошла».

Близкой по методологии является работа Darwesh et al. [13], в которой предложен механизм обнаружения ARP-спуфинга в SDN-сетях со временем реакции около 11 мс. Однако он требует модификации контроллера и не исследует поведение традиционных L2-коммутаторов. Методы машинного обучения [10] и кросс-протокольные подходы ориентированы на детектирование атак, а не на превентивную блокировку.

В российской практике вопросы защиты от ARP-спуфинга также находят отражение. В работе Завьяловой и Гончарук [2] рассмотрены практические аспекты конфигурации DAI на примере коммутатора с поддержкой DHCP Snooping, продемонстрирована качественная эффективность механизма при блокировке подмены MAC-адресов, однако количественные оценки влияния на задержки и время реакции отсутствуют. В работе Уймина и Толмачева [7] рассмотрены особенности применения отечественного оборудования Eltex в сетях ТЭК, что актуально для выбора средств защиты в промышленных сегментах. Ягудин и Волкогонов [9] анализируют механизмы реализации ARP-spoofing-атак с использованием Kali Linux (arpspoof, ettercap) и предлагают методы защиты, акцентируя внимание на практических аспектах обнаружения атак.

Настоящая работа впервые представляет количественные результаты тестирования DAI и альтернативных методов защиты на трѐх типах оборудования (Cisco, Eltex, MikroTik) в единых условиях, включая оценку обходных техник.

Методология эксперимента

Объектом данного  исследования являются механизмы защиты канального уровня DHCP Snooping и DAI на Cisco Catalyst 2960 и Eltex MES1428, а также альтернативные методы (reply-only, horizon) на MikroTik CRS326.

Предметом исследования – эффективность блокировки ARP-spoofing-атак, количественные характеристики времени реакции и влияние на производительность.

Цель работы – получить экспериментальные данные о поведении трѐх моделей коммутаторов при активации защиты и предложить обоснованные рекомендации.

Задачи: сбор стенда, настройка IP/VLAN, проведение атаки без защиты, активация защиты, замер времени реакции, % фильтрации, RTT, CPU/RAM, тестирование обходных техник.

Таблица 1. Критерии оценки эффективности

Критерий

Способ измерения

Целевое значение

1

Время обнаружения атаки

Время от момента запуска arpspoof до фиксации первого заблокированногоподдельного ARP-пакет в логах коммутатора

≤ 500 мс

2

Процент отфильтрованных пакетов

Доля поддельных ARP-пакетов, отклонѐнных механизмом DAI

100%

3

Задержки при включении защиты

Изменение среднего времени кругового пути (RTT) ICMP-пакетов

Рост ≤ 10%

Стенд и конфигурация

Атакующий ПК – Kali Linux (IP 10.19.103.100/24), жертва – BaseAlt Linux (IP 10.19.103.89/24). Коммутаторы подключались последовательно. Cisco Catalyst 2960: IP 10.19.103.30/24, порты 2 и 3 в access VLAN 1. Eltex MES1428: IP 10.19.103.27/24. MikroTik CRS326: IP 10.19.103.27/24, бридж с портами ether2, ether3.

Лабораторный стенд на базе коммутатора Eltex MES1428 развѐртывался с учѐтом методических рекомендаций по настройке отечественного сетевого оборудования, изложенных в работе [7].

Таблица 2. Версии ПО

Компонент

Версия

Kali Linux

2026.1

BaseAlt Linux

Simply Linux 11.0

dsniff (arpspoof)

2.4b1

Cisco Catalyst 2960

IOS 15.0

Eltex MES1428

10.4.3.4

MikroTik CRS326

RouterOS 7.22

Методика измерений

Атака генерировалась утилитой arpspoof. Трафик захватывался tcpdump. RTT измерялся командой ping -c 100. CPU и RAM фиксировались командами show processes cpu / show memory (Cisco), show env cpu / show env ram (Eltex), /system resource print (MikroTik). Все измерения проводились по три раза. Для оценки вариативности результатов рассчитывалось стандартное отклонение – для Avg RTT оно не превышало ±0.2 мс для Cisco/Eltex и ±0.4 мс для MikroTik.

Для MikroTik CRS326, где отсутствуют встроенные логи DAI, время реакции определялось косвенно: по временной метке первого поддельного ARP-пакета в захваченном трафике (tcpdump) и моменту, после которого ARP-таблица жертвы переставала обновляться. Погрешность метода составляет ±5 мс. Факт блокировки также определялся по неизменности ARP-таблицы жертвы (arp - a) и анализу захваченного трафика.

Результаты эксперимента

Таблица 3. Оценка эффективности защиты

Коммутатор

Время обнаружения атаки (мс)

% отфильтрованных пакетов

Задержка без защиты (мс)

Задержка с защитой (мс)

Рост задержки (%)

Cisco 2960

13

100

2.927

3.218

+9.94

 Eltex MES1428

19

 100

3.105

3.412

+8.89

MikroTik CRS326

31

100

3.648

4.391

+14.37

Количественная оценка пакетов и задержек

Таблица 4. Количественная оценка пакетов

Коммутатор

Состояние

Отправлено, шт.

Заблокировано, шт.

% фильтрации

Время реакции, мс

Успех атаки

Cisco Catalyst 2960

Без защиты

67

0

Да

Cisco Catalyst 2960

С защитой

53

53

100

13

Нет

Eltex MES1428

Без защиты

61

0

Да

Eltex MES1428

С защитой

47

47

100

18

Нет

MikroTik CRS326

Без защиты

70

0

Да

MikroTik CRS326

С защитой

56

56

100

31

Нет

Таблица 5. Количественная оценка задержек (RTT)

Коммутатор

Состояние

Min RTT, мс

Avg RTT, мс

Max RTT, мс

Рост Avg RTT, %

Cisco Catalyst 2960

Без защиты

1.740

2.927

6.228

Cisco Catalyst 2960

С защитой

1.872

3.218

6.530

+9.94

Eltex MES1428

Без защиты

1.853

3.105

6.447

Eltex MES1428

С защитой

1.998

3.412

6.781

+8.89

MikroTik CRS326

Без защиты

2.451

3.648

7.215

MikroTik CRS326

С защитой

3.104

4.391

8.103

+14.37

Влияние на CPU и RAM

Таблица 6. Влияние на CPU и RAM

Коммутатор

Состояние

CPU, %

RAM использовано,%

Рост CPU, %

Рост RAM, %

Cisco Catalyst 2960

Без защиты

5%

~73%

Cisco Catalyst 2960

С защитой

5%

~75%

0%

~2.7%

Eltex MES1428

Без защиты

4%

~70%

Eltex MES1428

С защитой

4%

~73%

0%

~4.2%

MikroTik CRS326

Без защиты

6%

~78%

MikroTik CRS326

С защитой

6%

~80%

0%

~2.5%

Обходные техники

Таблица 7. Результаты тестирования обходных техник

Коммутатор

Техника обхода

Защита сработала?

Примечание

Cisco Catalyst 2960

Доверенный порт (trusted)

Нет

trusted-порта DAI не проверяет ARP-пакеты

Eltex MES1428

MikroTik CRS326

Не применимо

На MikroTik нет механизма DAI и понятия trusted-порта для ARP

Cisco Catalyst 2960

Фрагментация ARP

Да

DAI корректно собирает фрагменты и блокирует поддельные ARP

Eltex MES1428

MikroTik CRS326

reply-only блокирует любые непрошенные ARP-ответы, включая фрагментированные

Cisco Catalyst 2960

Тайминговая атака (burst)

Частично

Без rate-limiting часть пакетов может пройти. С rate-limiting — защита срабатывает

Eltex MES1428

MikroTik CRS326

Да

reply-onlyработает на уровне бриджа, интенсивность не влияет на фильтрацию

Обсуждение результатов

Подтверждение гипотез. Гипотеза H1 подтверждена: DAI на Cisco и Eltex обеспечивает 100% фильтрации при росте задержки 9–10% (≤10%). Гипотеза H2 подтверждена частично: MikroTik блокирует атаки, но рост задержки (14.37%) превышает целевые 10%. Гипотеза H3 подтверждена дифференцированно: trusted-порт полностью нейтрализует защиту; тайминговая атака частично эффективна без rate-limiting; фрагментация успешно блокируется.

Аппаратный vs программный DAI. Cisco и Eltex используют аппаратную проверку ARP (ASIC), что обеспечивает стабильно низкое время реакции (13-19 мс) и минимальный рост задержки.

MikroTik реализует защиту программно (CPU), что приводит к большему разбросу и более высокому росту RTT.

Сравнение с SDN-подходами. В работе Darwesh et al. [10] среднее время обнаружения ARP-спуфинга в SDN-сети составило 11 мс. Традиционные L2-механизмы (DAI) демонстрируют сопоставимые показатели (13-19 мс для Cisco/Eltex) при отсутствии централизованного контроллера. Более высокое время реакции MikroTik (31 мс) объясняется программной, а не аппаратной реализацией защиты.

Аномалия Min RTT для MikroTik. Зафиксированное «улучшение» Min RTT (3.104 → 2.451 мс) является измерительным артефактом, объясняемым разновременностью замеров и чувствительностью показателя к кратковременным флуктуациям. Основной метрикой выбран Avg RTT, демонстрирующий устойчивый рост (+14.37%).

Применимость к сетям ТЭК. Рост задержки на 14,37% при использовании MikroTik CRS326 требует дифференцированной оценки. Для протокола IEC 61850 GOOSE (релейная защита, ПАЗ) с допустимым временем передачи менее 3 мс такая задержка недопустима. Для SCADA-циклов Modbus TCP с интервалом 100–1000 мс дополнительная задержка (~0,6 мс) незначительна, однако для подсистем с циклом 10-100 мс может потребоваться корректировка таймаутов. Таким образом, программная защита на MikroTik допустима лишь в сегментах телеметрии и логирования, но не в контурах реального времени, где предпочтительны аппаратные реализации DAI на Cisco/Eltex.

Ограничения исследования. Эксперимент проводился последовательно (не параллельно), что могло внести незначительные вариации. Для MikroTik применена косвенная методика оценки времени реакции. Результаты получены в лабораторных условиях и могут отличаться в реальных промышленных сетях с высокой фоновой нагрузкой. Использование Kali Linux и arpspoof допустимо в лабораторных исследованиях и на согласованных тестовых полигонах. Однако в сертифицированных промышленных сетях объектов КИИ для аудита безопасности применение непроверенного ПО недопустимо; в соответствии с Приказом ФСТЭК №239 необходимо использовать сертифицированные СЗИ и сканеры безопасности.

Заключение

В ходе работы проведены экспериментальные исследования эффективности защиты от ARP-спуфинга на оборудовании Cisco Catalyst 2960, Eltex MES1428 и MikroTik CRS326.

Основные результаты:

  1. DAI и DHCP Snooping на Cisco и Eltex показали 100% эффективность при времени реакции 13–19 мс и росте задержки <10%.
  2. MikroTik CRS326 требует альтернативной защиты (reply-only + горизонты), которая обеспечивает блокировку атак, но с ростом задержки 14.37%.
  3. Устойчивость к обходным техникам зависит от метода: trusted-порт полностью отключает защиту; тайминговая атака требует настройки rate-limiting; фрагментация не представляет угрозы.
  4. Влияние на производительность (CPU/RAM) не превышает 5%, что подтверждает низкую стоимость реализации защиты.

Рекомендации: не назначать trusted-порты клиентским устройствам; настроить ip arp inspection limit для защиты от burst-атак; при выборе оборудования учитывать, что программная защита MikroTik даѐт больший рост задержки.

Список литературы:

  1. ГОСТ Р 56545-2015. Защита информации. Уязвимости информационных систем. М.: Стандартинформ, 2015. 12 с.
  2. Завьялова К.П., Гончарук С.М. Особенности конфигурации Dynamic ARP Inspection. Тестирование решения // Студенческий электронный журнал «СтРИЖ», 2025. №5(64). С. 38-44.
  3. Конева Ю.Л., Дворцов Н.В. Типовые атаки на DHCP // Молодой учёный, 2023. №51(498). С. 7-8.
  4. Олифер В.Г., Олифер Н.А. Компьютерные сети изд. СПб.: 2016. 992 с.
  5. Рамазанова Г.Р., Марченко Р.О. Разработка и экспериментальная апробация метода обнаружения ARP – spoofing атак // Теория и практика современной науки, 2025. №1. С. 45-58.
  6. Таненбаум Э., Уэзеролл Д. Компьютерные сети . 5-е изд. СПб.: 2012. 960 с.
  7. Уймин А.Г., Толмачев И.М. Применение отечественного сетевого оборудования Eltex и EcoRouter // Издательский дом «Губкин», 2025. №11(628). С. 58-62.
  8. Шишов Н.В., Ломазов В.А. Моделирование процессов функционирования системы электронного документооборота при воздействии ARP-spoofing атак / Инженерный вестник Дона, 2022. №2. С. 86.
  9. Ягудин И.Р., Волкогонов В.Н. Анализ активных сетевых атак: ARP-SPOOFING и DNS-SPOOFING // Региональная информатика и информационная безопасность. СПб.: 2017. С. 329-333.
  10. Alhajahmad B. Fortifying Network Security: A Machine Learning-Based Approach to Improving DHCP Snooping // Turkish Journal of Engineering, 2026. №10.: 24-38.
  11. Cisco Systems. Dynamic ARP Inspection // FHS and SISF Configuration Guide, Cisco IOS XE 17. (дата обращения: 01.06.2026).
  12. Conti M., Dragoni N., Gjørven S. 2ARP poisoning: A survey and analysis of current solutions // Computer Science Review, 2016. №19.: 1-17.
  13. Darwesh G., Vorobeva A.A. , Korzhuk V.M. An Efficient Mechanism to Detect and Mitigate an ARP Spoofing Attack in Software-Defined Networks. 2021. №17.: 233-244.
  14. Droms R. RFC 2131: Dynamic Host Configuration Protocol // IETF. (дата обращения: 01.06.2026).
  15. DHCP Snooping и Dynamic ARP Inspection // Документация Eltex MES. (дата обращения: 01.06.2026).
  16. National Institute of Standards and Technology (NIST). National Vulnerability Database (NVD). (дата обращения: 01.06.2026).

Application of DHCP Snooping and Dynamic ARP Inspection for Link-Layer Spoofing Protection

Tkachev G.A.,
student of 1 course of the Gubkin Russian State University of Oil and Gas, Moscow

Coauthor:
Gorsky Ya.V.,
student of 1 course of the Gubkin Russian State University of Oil and Gas, Moscow

Abstract. The paper presents the results of an experimental study of the effectiveness of link-layer protection mechanisms against ARP-spoofing attacks on three network switch models. The relevance of the topic is determined by the growing number of incidents at fuel and energy complex facilities with heterogeneous network infrastructure, where equipment from different vendors is used simultaneously. The aim of the study was to obtain quantitative data on the behavior of Cisco Catalyst 2960, Eltex MES1428 and MikroTik CRS326 switches when DHCP Snooping and Dynamic ARP Inspection mechanisms are activated, as well as to assess the resilience of standard configurations to bypass techniques. On a laboratory testbed, the attack was simulated using the arpspoof utility from the dsniff package, traffic was captured by tcpdump, RTT was measured by the ping command with a sample of 100 packets, and each experiment was repeated three times. It is confirmed that enabling DAI on Cisco and Eltex provides 100 percent blocking of MAC address spoofing with an average delay increase of no more than 10 percent and an attack detection time of 13-19 ms. For the MikroTik CRS326, which does not support hardware DAI, an alternative protection scheme based on reply-only mode and bridge horizons is proposed, providing the same level of blocking with a delay increase of up to 14.37 percent. The resilience to bypass techniques was assessed – assignment of trusted ports, ARP packet fragmentation and burst attacks. The results are applicable for justifying equipment selection and configuring protection in segmented industrial networks.
Keywords: ARP spoofing, Dynamic ARP Inspection, DHCP Snooping, link-layer protection, network switch, information security, industrial network.

References:

  1. GOST R 56545-2015. Information Protection. Vulnerabilities of Information Systems; Standartinform: Moscow: 2015; 12 p.
  2. Zavyalova K.P., Goncharuk S.M. Dynamic ARP Inspection configuration features. Solution testing // Student electronic magazine «STRIZH», 2025. №5(64).: 38-44.
  3. Koneva Yu.L., Dvortsov N.V. Typical attacks on DHCP // Young scientist, 2023. №51(498).: 7-8.
  4. Olifer V.G., Olifer N.A. Computer networks ed. St. Petersburg: 2016. 992 p.
  5. Ramazanova G.R., Marchenko R.O. Development and experimental testing of the method for detecting ARP - spoofing attacks // Theory and practice of modern science, 2025. №1.: 45-58.
  6. Tanenbaum E., Weatherall D. Computer networks. 5th ed. St. Petersburg: 2012. 960 p.
  7. Uymin A.G., Tolmachev I.M. The use of domestic network equipment Eltex and EcoRouter // Gubkin Publishing House, 2025. №11(628).: 58-62.
  8. Shishov N.V., Lomazov V.A. Modeling of the processes of functioning of the electronic document management system under the influence of ARP-spoofing attacks / Engineering Bulletin of the Don, 2022. №2.: 86.
  9. Yagudin I.R., Volkogonov V.N. Analysis of active network attacks: ARP-SPOOFING and DNS-SPOOFING // Regional informatics and information security. St. Petersburg: 2017.: 329-333.
  10. Alhajahmad B. Fortifying Network Security: A Machine Learning-Based Approach to Improving DHCP Snooping // Turkish Journal of Engineering, 2026. №10.: 24-38.
  11. Cisco Systems. Dynamic ARP Inspection // FHS and SISF Configuration Guide, Cisco IOS XE 17. (date of the address: 01.06.2026).
  12. Conti M., Dragoni N., Gjørven S. 2ARP poisoning: A survey and analysis of current solutions // Computer Science Review, 2016. №19.: 1-17.
  13. Darwesh G., Vorobeva A.A., Korzhuk V.M. An Efficient Mechanism to Detect and Mitigate an ARP Spoofing Attack in Software-Defined Networks. 2021. №17.: 233-244.
  14. Droms R. RFC 2131: Dynamic Host Configuration Protocol // IETF. (date of the address: 01.06.2026).
  15. DHCP Snooping и Dynamic ARP Inspection // Документация Eltex MES. (date of the address: 01.06.2026).
  16. National Institute of Standards and Technology (NIST). National Vulnerability Database (NVD). (date of the address: 01.06.2026).