全国直销电话:4006-854-568
IT-technology
以人为本,众志成城,以“用户至上”.“服务上乘”为原则,
追求产品和服务高质量,努力实现与客户之间真诚有效的沟通,
不断地圆梦、奔跑与腾飞。
新闻动态   NEWS
网站首页 所有新闻 行业资讯 交换机受到ARP攻击了,怎么破?-北京赛维博信科技发展有限公司
交换机受到ARP攻击了,怎么破?-北京赛维博信科技发展有限公司
来源:本文摘自网络,如有侵权请联系删除 | 作者:svbx001 | 发布时间: 2022-08-24 | 2628 次浏览 | 分享到:

Part1问题现象描述

如图1所示,Switch为网关,Switch_1经常脱管,且Switch_1下用户存在掉线、Ping网关存在时延、不通等现象,而Switch_2下联业务正常、Ping网关正常。

图1 故障组网图

Part2问题根因说明

Switch_1上存在源MAC固定的ARP攻击导致用户无法进行正常ARP交互。

Part3问题判断方法

在Switch_1上执行以下操作:

查看设备CPU占用率,判断CPU占用率较高

<HUAWEI> display cpu 
CPU utilization statistics at 2015-12-04 11:04:40 820 ms
System CPU Using Percentage :  82%
CPU utilization for five seconds: 82%, one minute: 82%, five minutes: 82%.
Max CPU Usage :                87%
Max CPU Usage Stat. Time : 2015-11-28 16:55:21 599 ms

发现CPU占用率达到82%。

查看存在临时ARP表项,初步判断设备的ARP表项学习存在问题。

<HUAWEI> display arp 
ARP Entry Types: D - Dynamic, S - Static, I - Interface, O - OpenFlow
EXP: Expire-time VLAN:VLAN or Bridge Domain

IP ADDRESS      MAC ADDRESS    EXP(M) TYPE/VLAN       INTERFACE        VPN-INSTANCE
------------------------------------------------------------------------------
10.137.222.139  00e0-fc01-4422        I -             MEth0/0/0 
10.1.1.1        200b-c739-130c        I               Vlanif10
10.2.3.4        200b-c739-1316        I               Vlanif200
12.1.1.1        200b-c739-1302        I               10GE4/0/8
12.1.1.2        f84a-bff0-cac2   12   D               10GE4/0/8
50.1.1.2        Incomplete        1   D               10GE4/0/22
50.1.1.3        Incomplete        1   D               10GE4/0/22
......
------------------------------------------------------------------------------

发现有两条ARP表项的“MAC ADDRESS”字段为“Incomplete”即为临时表项,表示有ARP表项学习不到。

判断设备正遭受ARP攻击。由于有未学习到的ARP表项,查看上送CPU的ARP-Request报文统计信息。

<HUAWEI> display cpu-defend statistics packet-type arp all 
Statistics(packets) on slot 2 :
--------------------------------------------------------------------------------
PacketType               Total Passed        Total Dropped   Last Dropping Time
                    Last 5 Min Passed   Last 5 Min Dropped
--------------------------------------------------------------------------------
arp                                 0                    0   -
                                    0                    0
--------------------------------------------------------------------------------
Statistics(packets) on slot 4 :
--------------------------------------------------------------------------------
PacketType               Total Passed        Total Dropped   Last Dropping Time
                    Last 5 Min Passed   Last 5 Min Dropped
--------------------------------------------------------------------------------
arp                            106549             44380928   -
                                    3                    0
--------------------------------------------------------------------------------

发现交换机的4号单板上存在大量ARP报文丢包。

配置攻击溯源识别攻击源。

<HUAWEI> system-view 
[~HUAWEI] cpu-defend policy policy1 
[*HUAWEI-cpu-defend-policy-policy1] auto-defend enable 
[*HUAWEI-cpu-defend-policy-policy1] auto-defend attack-packet sample 5  //每5个报文抽样识别一次,抽样值过小会消耗过多CPU 
[*HUAWEI-cpu-defend-policy-policy1] auto-defend threshold 30  //报文达30pps即被识别为攻击,若攻击源较多可调低该值 
[*HUAWEI-cpu-defend-policy-policy1] auto-defend trace-type source-mac  //基于源MAC进行攻击源识别 
[*HUAWEI-cpu-defend-policy-policy1] auto-defend protocol arp  //针对ARP攻击进行识别 
[*HUAWEI-cpu-defend-policy-policy1] quit 
[*HUAWEI] cpu-defend-policy policy1 
[*HUAWEI] commit

查看攻击源信息。

[~HUAWEI] display auto-defend attack-source 
Attack Source User Table on Slot 4 :
  -------------------------------------------------------------------------
  MAC Address      Interface       PacketType    VLAN:Outer/Inner      Total
  -------------------------------------------------------------------------
  0000-c102-0102   10GE4/0/22       ARP          1000/                 4832
  -------------------------------------------------------------------------

发现攻击源的MAC地址为0000-c102-0102,位于10GE4/0/22端口。

Part4解决方案

配置黑名单。


acl number 4000 
 rule 10 permit type arp source-mac 0000-c102-0102 

cpu-defend policy 1 
 blacklist 1 acl 4000  //针对来自特定用户恶意报文的攻击,设备通过ACL把符合特定特征的用户纳入到黑名单中,被纳入黑名单的用户所发的报文到达设备后均会被丢弃 

cpu-defend-policy 1  
#

配置攻击溯源的惩罚功能。

#  
cpu-defend policy policy1  
 auto-defend enable  
 auto-defend action deny  //使能攻击溯源的惩罚功能,并指定惩罚措施。在默认惩罚时间300s内,将识别为攻击的报文全部丢弃 
 auto-defend alarm enable
 auto-defend threshold 30  
 auto-defend trace-type source-mac  
 auto-defend protocol arp  

cpu-defend-policy policy1  
#



 

服务热线

1391-024-6332