如何判断交换机是不是受到ARP攻击以及处理方式
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何判断交换机是不是受到ARP攻击以及处理方式相关的知识,希望对你有一定的参考价值。
如何判断交换机是否受到ARP攻击以及处理方式一、如果网络受到了ARP攻击,可能会出现如下现象:
1、用户掉线、频繁断网、上网慢、业务中断或无法上网。
2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。
3、Ping有时延、丢包或不通。
定位ARP攻击时,请先排除链路、环路或路由问题,排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。
1、在网关上执行命令display cpu-defend statistics all,查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。
如果计数为0,设备没有丢弃ARP报文。
如果有计数,表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。
如果是ARP Miss报文丢弃很多,设备很可能受到了ARP Miss攻击。
如果是ARP Request或ARP Reply报文丢弃很多,设备很可能受到了ARP Request或ARP Reply报文攻击。
2、在网关上执行命令display arp all,查看用户的ARP表项是否存在。
如果ARP表项还在,请再查看用户的ARP表项,然后确定是否有用户或网关的ARP表项被改变。
如果是网关上用户ARP表项被改变,设备受到了ARP欺骗网关攻击。
在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。
建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。
3、系统视图下执行命令arp static,配置静态ARP表项。
如果下挂用户较少,可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。
4、系统视图或接口视图下执行命令arp anti-attack entry-check fixed-mac | fixed-all | send-ack enable,配置ARP表项固化功能。
fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。
fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。
send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。
二、处理方式:
1、配置黑名单或黑洞MAC对攻击源的报文进行丢弃处理。
如果是用户的网关ARP表项被改变,设备受到了ARP仿冒网关攻击。
在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。
建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。
2、在网关的下行接口配置端口隔离,防止同一VLAN的用户收到攻击的ARP。
系统视图下执行命令arp anti-attack gateway-duplicate enable,使能ARP防网关冲突攻击功能。
3、在接口或VLAN视图下执行命令arp anti-attack check user-bind enable,使能动态ARP检测功能(即对ARP报文进行绑定表匹配检查功能)。
动态ARP检测功能主要用于防御中间人攻击的场景,避免合法用户的数据被中间人窃取。
4、在系统视图下执行命令arp anti-attack packet-check ip | dst-mac | sender-mac *,使能ARP报文合法性检查功能,并指定ARP报文合法性检查项。
配置后,还需应用该防攻击策略才能生效。
用户视图下执行命令display arp anti-attack configuration arp-speed-limit,查看是否配置了ARP报文限速。
系统视图下执行命令arp speed-limit source-ip [ ip-address ] maximum maximum,调整根据源IP地址进行ARP报文限速的限速值。
系统视图下执行命令arp speed-limit source-mac [ mac-address ] maximum maximum,调整根据源MAC地址进行ARP限速的限速值。
系统视图、VLAN视图或接口视图下执行命令arp anti-attack rate-limit packet packet-number,调整ARP报文的限速值。 参考技术A 如何判断交换机是否受到ARP攻击以及处理方式
一、如果网络受到了ARP攻击,可能会出现如下现象:
1、用户掉线、频繁断网、上网慢、业务中断或无法上网。
2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。
3、Ping有时延、丢包或不通。
定位ARP攻击时,请先排除链路、环路或路由问题,排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。
1、在网关上执行命令display cpu-defend statistics all,查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。
如果计数为0,设备没有丢弃ARP报文。
如果有计数,表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。
如果是ARP Miss报文丢弃很多,设备很可能受到了ARP Miss攻击。
如果是ARP Request或ARP Reply报文丢弃很多,设备很可能受到了ARP Request或ARP Reply报文攻击。
2、在网关上执行命令display arp all,查看用户的ARP表项是否存在。
如果ARP表项还在,请再查看用户的ARP表项,然后确定是否有用户或网关的ARP表项被改变。
如果是网关上用户ARP表项被改变,设备受到了ARP欺骗网关攻击。
在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。
建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。
3、系统视图下执行命令arp static,配置静态ARP表项。
如果下挂用户较少,可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。
4、系统视图或接口视图下执行命令arp anti-attack entry-check fixed-mac | fixed-all | send-ack enable,配置ARP表项固化功能。
fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。
fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。
send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。 参考技术B 1、看下交换机的指示灯是不是狂闪
2、有可能是交换机接成了环路,也会导致频繁断网(检查下A交换机和B交换机之间的网线连接情况,A的网线接在B上,然后B的网线接在A上,会出现环路)
3、抓包工具wireshark ,可以看到所有信息都向某一个(或几个)固定IP发送信息,这几个固定IP的主机就有可能中了ARP病毒
4、排除环路影响,再判断是否是受到ARP攻击
5、处理方式比较麻烦,一个一个交换机试,将所有交换机的网线从核心交换机上拔掉,然后一台一台插上去,那一台交换机插上出现问题,就是这个交换机的问题,然后将这个出现问题的交换机上的网线全部拔掉,一个一个查,那个网线插上后出现问题,就是那个网线对应的电脑的故障(不知道我说明白了没有)
6、如果实在不知道怎么处理,找你们的网络管理员来处理吧
华为最新ARP防护
ARP 报文限速功能简介:
为了防止“中间人攻击”,设备通过开启ARP 入侵检测功能,将ARP 报文上送到
CPU 处理,判断ARP 报文的合法性后进行转发或丢弃。但是,这样引入了新的问
题:如果攻击者恶意构造大量ARP 报文发往交换机的某一端口,会导致CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。S3900 系列以太网交换机支
持端口ARP 报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU
的冲击。
开启某个端口的ARP 报文限速功能后,交换机对每秒内该端口接收的ARP 报文数
量进行统计,如果每秒收到的ARP 报文数量超过设定值,则认为该端口处于超速状
态(即受到ARP 报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,
从而避免大量ARP 报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP 限速功能的端口,在
其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
配置实例:
配置ARP监测速率
interface Ethernet1/0/8
port access vlan 148
arp rate-limit enable(打开ARP监测功能)
arp rate-limit 50 (设置ARP监测速率为每秒钟50个ARP包)
配置自动关闭端口功能:
在全局模式下:
arp protective-down recover enable(开启交换机端口自动恢复功能)
arp protective-down recover interval 15(设置自动恢复时间为15秒)测试结果:
%Apr 2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP
%Apr 2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!
(ARP包超过设定速率,此端口将关闭)
%Apr 2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is DOWN
%Apr 2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP(15秒后,端口自动打开)
查看交换机端口状态:
<3952>dis brief interface (注意第8口的状态为PTC)
Interface:
Eth - Ethernet GE - GigabitEthernet TENGE - tenGigabitEthernet
Loop - LoopBack Vlan - Vlan-interface Cas - Cascade
Speed/Duplex:
A - auto-negotiation
Interface Link Speed Duplex Type PVID Description
--------------------------------------------------------------------------------
Aux1/0/0 UP -- -- -- --
Eth1/0/1 UP A100M Afull trunk 1 uplink-TANGXIZHEN_3952
Eth1/0/2 ADM DOWN A A trunk 1
Eth1/0/3 ADM DOWN A A trunk 1
Eth1/0/4 ADM DOWN A A trunk 1
Eth1/0/5 DOWN A A access 902
Eth1/0/6 UP A100M Afull access 902 GuangJiSheQu
Eth1/0/7 DOWN A A access 902
Eth1/0/8 PTC DOWN A A access 902 (注意第8口的状态为PTC)
注意事项:
1、这个功能需要3900系列1602以上版本才能支持,其他型号的交换机暂时没有研究;
2、arp包的速率限制要根据具体环境而设置,需要测试后才能铺开实施;
3、如果要手动打开被关闭的端口,可以使用undo shutdown打开;
以上是关于如何判断交换机是不是受到ARP攻击以及处理方式的主要内容,如果未能解决你的问题,请参考以下文章