|
如何判断交换机是否受到ARP攻击以及处理方式
+ v1 u$ h' J$ V5 W: a6 }( Z8 ]6 t) l一、如果网络受到了ARP攻击,可能会出现如下现象: 1、用户掉线、频繁断网、上网慢、业务中断或无法上网。 2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。 3、Ping有时延、丢包或不通。 : I% j5 r& T* C
定位ARP攻击时,请先排除链路、环路或路由问题,排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。 1、在网关上执行命令display cpu-defend statistics all,查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。 如果计数为0,设备没有丢弃ARP报文。 如果有计数,表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。 如果是ARP Miss报文丢弃很多,设备很可能受到了ARP Miss攻击。 如果是ARP Request或ARP Reply报文丢弃很多,设备很可能受到了ARP Request或ARP Reply报文攻击。
, ]" L {# n3 H+ h! `2、在网关上执行命令display arp all,查看用户的ARP表项是否存在。 如果ARP表项还在,请再查看用户的ARP表项,然后确定是否有用户或网关的ARP表项被改变。 如果是网关上用户ARP表项被改变,设备受到了ARP欺骗网关攻击。 在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。 建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。 5 G$ v6 _* g+ D; E2 s
3、系统视图下执行命令arp static,配置静态ARP表项。 如果下挂用户较少,可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。 ' a* u- F1 d# r( ]9 r6 U
4、系统视图或接口视图下执行命令arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable,配置ARP表项固化功能。 fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。 fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。 send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。
2 c% d4 @/ s) I+ c二、处理方式: 1、配置黑名单或黑洞MAC对攻击源的报文进行丢弃处理。 如果是用户的网关ARP表项被改变,设备受到了ARP仿冒网关攻击。 在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。 建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。 " z( t$ Q6 R T3 y& E2 z7 `3 A0 W
2、在网关的下行接口配置端口隔离,防止同一VLAN的用户收到攻击的ARP。 系统视图下执行命令arp anti-attack gateway-duplicate enable,使能ARP防网关冲突攻击功能。 , G) V: }' z4 I: f
3、在接口或VLAN视图下执行命令arp anti-attack check user-bind enable,使能动态ARP检测功能(即对ARP报文进行绑定表匹配检查功能)。 动态ARP检测功能主要用于防御中间人攻击的场景,避免合法用户的数据被中间人窃取。 0 E) i, Z+ V) y" l& f# }- M
4、在系统视图下执行命令arp anti-attack packet-check { ip | dst-mac | sender-mac }*,使能ARP报文合法性检查功能,并指定ARP报文合法性检查项。
: V% G$ F3 C, N. I* W9 ?配置后,还需应用该防攻击策略才能生效。 用户视图下执行命令display arp anti-attack configuration arp-speed-limit,查看是否配置了ARP报文限速。 系统视图下执行命令arp speed-limit source-ip [ ip-address ] maximum maximum,调整根据源IP地址进行ARP报文限速的限速值。 系统视图下执行命令arp speed-limit source-mac [ mac-address ] maximum maximum,调整根据源MAC地址进行ARP限速的限速值。 系统视图、VLAN视图或接口视图下执行命令arp anti-attack rate-limit packet packet-number,调整ARP报文的限速值。
. W' p; Z8 e+ B! `- q" | | 
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
