如何判断交换机是不是受到ARP攻击以及处理方式

Posted 2023-05-13

如何判断交换机是否受到ARP攻击以及处理方式

一、如果网络受到了ARP攻击，可能会出现如下现象：
1、用户掉线、频繁断网、上网慢、业务中断或无法上网。
2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。
3、Ping有时延、丢包或不通。

定位ARP攻击时，请先排除链路、环路或路由问题，排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果，以便在故障无法解决时快速收集和反馈信息。
1、在网关上执行命令display cpu-defend statistics all，查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。
如果计数为0，设备没有丢弃ARP报文。
如果有计数，表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。
如果是ARP Miss报文丢弃很多，设备很可能受到了ARP Miss攻击。
如果是ARP Request或ARP Reply报文丢弃很多，设备很可能受到了ARP Request或ARP Reply报文攻击。

2、在网关上执行命令display arp all，查看用户的ARP表项是否存在。
如果ARP表项还在，请再查看用户的ARP表项，然后确定是否有用户或网关的ARP表项被改变。
如果是网关上用户ARP表项被改变，设备受到了ARP欺骗网关攻击。
在设备与用户连接的接口上获取报文头，分析ARP报文的源地址，找出攻击者。
建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能，请根据情况选择配置。

3、系统视图下执行命令arp static，配置静态ARP表项。
如果下挂用户较少，可以通过配置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用。

4、系统视图或接口视图下执行命令arp anti-attack entry-check fixed-mac | fixed-all | send-ack enable，配置ARP表项固化功能。
fixed-mac方式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。当用户从不同接口接入设备时，设备上该用户对应的ARP表项中的接口信息可以及时更新。
fixed-all方式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。
send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

二、处理方式：
1、配置黑名单或黑洞MAC对攻击源的报文进行丢弃处理。
如果是用户的网关ARP表项被改变，设备受到了ARP仿冒网关攻击。
在设备与用户连接的接口上获取报文头，分析ARP报文的源地址，找出攻击者。
建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能，请根据情况选择配置。

2、在网关的下行接口配置端口隔离，防止同一VLAN的用户收到攻击的ARP。
系统视图下执行命令arp anti-attack gateway-duplicate enable，使能ARP防网关冲突攻击功能。

3、在接口或VLAN视图下执行命令arp anti-attack check user-bind enable，使能动态ARP检测功能（即对ARP报文进行绑定表匹配检查功能）。
动态ARP检测功能主要用于防御中间人攻击的场景，避免合法用户的数据被中间人窃取。

4、在系统视图下执行命令arp anti-attack packet-check ip | dst-mac | sender-mac *，使能ARP报文合法性检查功能，并指定ARP报文合法性检查项。

配置后，还需应用该防攻击策略才能生效。
用户视图下执行命令display arp anti-attack configuration arp-speed-limit，查看是否配置了ARP报文限速。
系统视图下执行命令arp speed-limit source-ip [ ip-address ] maximum maximum，调整根据源IP地址进行ARP报文限速的限速值。
系统视图下执行命令arp speed-limit source-mac [ mac-address ] maximum maximum，调整根据源MAC地址进行ARP限速的限速值。
系统视图、VLAN视图或接口视图下执行命令arp anti-attack rate-limit packet packet-number，调整ARP报文的限速值。 参考技术A 如何判断交换机是否受到ARP攻击以及处理方式

一、如果网络受到了ARP攻击，可能会出现如下现象：
1、用户掉线、频繁断网、上网慢、业务中断或无法上网。
2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。
3、Ping有时延、丢包或不通。

定位ARP攻击时，请先排除链路、环路或路由问题，排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果，以便在故障无法解决时快速收集和反馈信息。
1、在网关上执行命令display cpu-defend statistics all，查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。
如果计数为0，设备没有丢弃ARP报文。
如果有计数，表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。
如果是ARP Miss报文丢弃很多，设备很可能受到了ARP Miss攻击。
如果是ARP Request或ARP Reply报文丢弃很多，设备很可能受到了ARP Request或ARP Reply报文攻击。

2、在网关上执行命令display arp all，查看用户的ARP表项是否存在。
如果ARP表项还在，请再查看用户的ARP表项，然后确定是否有用户或网关的ARP表项被改变。
如果是网关上用户ARP表项被改变，设备受到了ARP欺骗网关攻击。
在设备与用户连接的接口上获取报文头，分析ARP报文的源地址，找出攻击者。
建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能，请根据情况选择配置。

3、系统视图下执行命令arp static，配置静态ARP表项。
如果下挂用户较少，可以通过配置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用。

4、系统视图或接口视图下执行命令arp anti-attack entry-check fixed-mac | fixed-all | send-ack enable，配置ARP表项固化功能。
fixed-mac方式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。当用户从不同接口接入设备时，设备上该用户对应的ARP表项中的接口信息可以及时更新。
fixed-all方式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。
send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。 参考技术B 1、看下交换机的指示灯是不是狂闪
2、有可能是交换机接成了环路，也会导致频繁断网（检查下A交换机和B交换机之间的网线连接情况，A的网线接在B上，然后B的网线接在A上，会出现环路）
3、抓包工具wireshark ,可以看到所有信息都向某一个（或几个）固定IP发送信息，这几个固定IP的主机就有可能中了ARP病毒
4、排除环路影响，再判断是否是受到ARP攻击
5、处理方式比较麻烦，一个一个交换机试，将所有交换机的网线从核心交换机上拔掉，然后一台一台插上去，那一台交换机插上出现问题，就是这个交换机的问题，然后将这个出现问题的交换机上的网线全部拔掉，一个一个查，那个网线插上后出现问题，就是那个网线对应的电脑的故障（不知道我说明白了没有）
6、如果实在不知道怎么处理，找你们的网络管理员来处理吧

华为最新ARP防护

ARP 报文限速功能简介：
为了防止“中间人攻击”，设备通过开启ARP 入侵检测功能，将ARP 报文上送到
CPU 处理，判断ARP 报文的合法性后进行转发或丢弃。但是，这样引入了新的问
题：如果攻击者恶意构造大量ARP 报文发往交换机的某一端口，会导致CPU 负担过重，从而造成其他功能无法正常运行甚至设备瘫痪。S3900 系列以太网交换机支
持端口ARP 报文限速功能，使受到攻击的端口暂时关闭，来避免此类攻击对CPU
的冲击。
开启某个端口的ARP 报文限速功能后，交换机对每秒内该端口接收的ARP 报文数
量进行统计，如果每秒收到的ARP 报文数量超过设定值，则认为该端口处于超速状
态（即受到ARP 报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，
从而避免大量ARP 报文攻击设备。
同时，设备支持配置端口状态自动恢复功能，对于配置了ARP 限速功能的端口，在
其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。
配置实例：
配置ARP监测速率
interface Ethernet1/0/8
port access vlan 148
arp rate-limit enable（打开ARP监测功能）
arp rate-limit 50 （设置ARP监测速率为每秒钟50个ARP包）

配置自动关闭端口功能：
在全局模式下：
arp protective-down recover enable（开启交换机端口自动恢复功能）
arp protective-down recover interval 15（设置自动恢复时间为15秒）测试结果：
%Apr   2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP
%Apr   2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!
（ARP包超过设定速率，此端口将关闭）
%Apr   2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is DOWN
%Apr   2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP（15秒后，端口自动打开）
查看交换机端口状态：
<3952>dis brief interface （注意第8口的状态为PTC）
Interface:        
Eth   - Ethernet   GE   - GigabitEthernet TENGE - tenGigabitEthernet        
Loop - LoopBack   Vlan - Vlan-interface   Cas   - Cascade        
Speed/Duplex:        
A - auto-negotiation
Interface   Link     Speed   Duplex Type   PVID Description                 
--------------------------------------------------------------------------------
Aux1/0/0     UP       --     --     --     --   
Eth1/0/1     UP       A100M   Afull   trunk   1     uplink-TANGXIZHEN_3952
Eth1/0/2     ADM DOWN A       A       trunk   1    
Eth1/0/3     ADM DOWN A       A       trunk   1    
Eth1/0/4     ADM DOWN A       A       trunk   1    
Eth1/0/5     DOWN     A       A       access 902  
Eth1/0/6     UP       A100M   Afull   access 902   GuangJiSheQu
Eth1/0/7     DOWN     A       A       access 902  
Eth1/0/8 PTC DOWN A       A       access 902  （注意第8口的状态为PTC）
注意事项：
1、这个功能需要3900系列1602以上版本才能支持，其他型号的交换机暂时没有研究；
2、arp包的速率限制要根据具体环境而设置，需要测试后才能铺开实施；
3、如果要手动打开被关闭的端口，可以使用undo shutdown打开；