四川红网

  1. 首页 > 生活经验 > >

私网存在ARP攻击导致用户上网时断时续该怎么处理?

生活百科生活知道

背景信息
如果用户发现上网时断时续,且网速特别慢,则很有可能是因为私网存在ARP攻击 。此时,可以参考本节内容,检查设备上是否存在ARP攻击 。
定位步骤
执行命令display logbuffer检查设备运行日志,看是否有ARP协议报文因CPU阀值的限制被丢弃 。
【私网存在ARP攻击导致用户上网时断时续该怎么处理?】<Huawei> display logbuffer
Sep9 2022 16:01:55+00:00 Huawei %%01SECE/4/PORT_ATTACK(l)[0]:Port attack occurred.(Slot=MPU, SourceAttackInterface=GigabitEthernet0/0/0, OuterVlan/InnerVlan=0/0, AttackPackets=64 packets per second)
Sep9 2022 16:01:54+00:00 Huawei %%01DEFD/4/CPCAR_DROP_MPU(l)[1]:Some packets are dropped by cpcar on the MPU. (Packet-type=arp-miss, Drop-Count=770)
Sep9 2022 16:01:54+00:00 Huawei %%01DEFD/4/CPCAR_DROP_MPU(l)[2]:Some packets are dropped by cpcar on the MPU. (Packet-type=arp-request, Drop-Count=3458)
如果日志中有ARP报文被丢弃,则怀疑设备连接的私网中存在ARP攻击 。此时,可以在设备上配置攻击溯源功能 , 进一步排查 。
<Huawei> system-view
[Huawei] cpu-defend policy 1
[Huawei-cpu-defend-policy-1] auto-defend enable
[Huawei-cpu-defend-policy-1] auto-defend threshold 40//可适当调整建议不要太小
[Huawei-cpu-defend-policy-1] auto-defend attack-packet sample 5
[Huawei-cpu-defend-policy-1] auto-defend protocol all
[Huawei-cpu-defend-policy-1] auto-defend trace-type source-ip source-mac source-portvlan
[Huawei-cpu-defend-policy-1] auto-defend alarm enable
[Huawei-cpu-defend-policy-1] quit
[Huawei] cpu-defend-policy 1
[Huawei] cpu-defend-policy 1 global
配置完攻击溯源后,当网络出现异常时 , 在设备上执行命令display auto-defend attack-source进一步确认是否存在ARP攻击 。
[Huawei] display auto-defend attack-source
Attack Source User Table:
————————————————————————-
MacAddressInterfaceNameVlan:Outer/InnerTOTAL
————————————————————————-
xxxx-xxxx-xxxxGigabitEthernet0/0/10368
yyyy-yyyy-yyyyGigabitEthernet0/0/007152
————————————————————————-
Total: 2
Attack Source Port Table:
—————————————————–
InterfaceNameVlan:Outer/InnerTOTAL
—————————————————–
GigabitEthernet0/0/10368
GigabitEthernet0/0/0023472
—————————————————–
Total: 2
Attack Source IP Table:
————————————-
IPAddressTOTAL Packets
————————————-
x.x.x.x368
y.y.y.y7152
————————————-
Total: 2
如上所示,私网中源IP地址为y.y.y.y,源MAC为yyyy-yyyy-yyyy的用户发送了大量的攻击报文(本例中GE0/0/1为公网接口,报文数量增长不大,可以忽略) 。此时,根据被攻击端口GE0/0/0,逐层往下找到攻击源用户 , 使用杀毒软件杀毒 , 解决故障 。
微信公众号:网络民工 专注于IT技术领域,结合实战经验,为您分享网络技术、系统集成、网络工程等一线技术解析和实践案例等深度干货文章,愿我们一起悦享技术,成就梦想!
如果无法查到攻击源用户 , 可以在设备的私网接口GE0/0/0上配置ACL规则过滤掉二层ARP流量功能,拒绝源MAC地址为yyyy-yyyy-yyyy的报文通过私网接口,解决故障 。
[Huawei] acl number 4444
[Huawei-acl-L2-4444] rule 5 deny l2-protocol arp source-mac yyyy-yyyy-yyyy
[Huawei] interface gigabitethernet 0/0/0
[Huawei-GigabitEthernet0/0/0] traffic-filter inbound acl 4444
[Huawei-GigabitEthernet0/0/0] quit
[Huawei] quit
以上就是朝夕生活(www.30zx.com)关于“私网存在ARP攻击导致用户上网时断时续该怎么处理?”的详细内容 , 希望对大家有所帮助!

猜你喜欢

上一篇:如何判断交换机是否受到ARP攻击以及处理方式

下一篇:什么是arp地址和arp攻击?该怎样利用arp命令解决网络故障