arp miss攻击_【交换机每周FAQ】交换机arp-miss原理以及如何排查。
ARP-Miss相关典型问题一: ARP扫描如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10.0.1.254。
图 固定源IP地址ARP Miss攻击
问题原因:扫描网段触发大量的ARP Miss消息,设备CPU一直忙于处理ARP Miss,无法处理其它业务。
解决方法:配置ARP Miss限速,针对源IP进行限速,当单位时间内超过一定数量可以自动阻断攻击源。
定位方法
1. 清除上送CPU的ARP Miss报文统计计数
reset cpu-defend statistics packet-type arp-miss all
2. 等待一段时间(1分钟),查看这段时间内上送CPU的ARP Miss数量
[Quidway] display cpu-defend statistics packet-typearp-miss slot 2
Statistics on slot 2:
------------------------------------------------------------------------------------------------------------------
Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)
------------------------------------------------------------------------------------------------------------------
Arp-miss 40800 35768 600 52600
------------------------------------------------------------------------------------------------------------------
查看通过和丢弃的报文数量,如果上送或丢弃的报文数量较大,则可认为是ARPMiss攻击。
配置指导1. 可以通过调整arp-miss的cpcar值来缓解CPU过高问题:
#
cpu-defend policy test
car packet-type arp-miss cir 64 cbs 12032
#
slot 2
cpu-defend-policy test
#
此方法只能缓解CPU过高问题,但无法解决用户上线慢等问题。框式设备V100R001版本可以通过命令cpcar arp-miss cir进行配置。
2. 可以通过延长ARP假表老化时间来缓解CPU过高问题。当IP报文触发arp miss后,交换机会发送arp请求进行探测,同时生成临时的arp表项,将后续发送到此IP的数据报文直接丢弃,以免造成对CPU的冲击。当交换机收到arp回应后,会将此临时的arp表项修正,如果在规定的时间内未收到arp回应,则将该临时表项删除,后续的IP报文即可继续触发上述arp miss流程:
#
interface Vlanif500
arp-fake expire-time 30 -- 默认时间5s
ip address 10.0.1.1 255.255.255.0
#
设置过大的假表老化时间,可能会导致arp学习不实时,进而导致数据流量丢失。
3. 配置基于源IP的ARP Miss限速,系统会自动识别超过速率的源IP且会自动下发ACL进行惩罚,默认情况下,所有IP地址的arp miss源抑制速率为5pps,默认惩罚时间为50秒:
[Quidway] arp-miss speed-limit source-ip maximum 3 //一个源IP最多产生arp-miss速率为3pps,缺省为5pps
可以通过命令查看攻击源:
[Quidway] displayarp anti-attack arpmiss-record-info
Interface IP address Attack time Block time Aging-time
----------------------------------------------------------------------------------------------------------------
GigabitEthernet5/0/0 10.0.0.1 2009-09-16 10:18 2009-09-16 10:18 50
----------------------------------------------------------------------------------------------------------------
There are 1 records in Arp-miss table
此命令会自动下发基于源IP的ARP惩罚ACL,若不再需要其上送控制平面,则可以通过cpu-defend policy中配置黑名单功能彻底终结该源的攻击。
arp miss攻击_【交换机每周FAQ】交换机arp-miss原理以及如何排查。相关推荐
- arp miss攻击_如何查看是否被arp攻击
佰佰安全网小编一起来看一看吧. 一. 如果网络受到了ARP攻击,可能会出现如下现象: 1.用户掉线.频繁断网.上网慢.业务中断或无法上网. 2.设备CPU占用率较高.设备托管.下挂设备掉线.设备主备状 ...
- arp miss攻击_详述网络中ARP安全的综合功能
针对以上攻击,ARP安全提供如下措施保证网络设备的安全性: 针对第一种攻击,可配置ARP防网关冲突,防止攻击者冒充网关窃听用户主机信息. 针对第二种攻击,可配置ARP Miss消息限速,减小CPU的负 ...
- arp miss攻击_网络应用华为S9300核心交换机ARP安全配置
ARP安全简介 ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络 设备的安全性和健壮性. 网络中有很多针对ARP 表项的攻击,攻击者通过发送大量伪造的ARP 请求 ...
- arp miss攻击_华为交换机ARP-MISS是啥意思?有什么用
展开全部 华为交换机ARP-MISS是交换模块,"开关"是一种用于电(光)信号转发的网62616964757a686964616fe78988e69d833133343363343 ...
- 局域网arp攻击_谈谈电子欺骗中的ARP欺骗
ARP欺骗是一种非常古老的电子欺骗攻击,虽然从诞生到现在已经过去了二十多年,但在很多网络中仍然有效.之前写的 沈传宁:谈谈TCP/IP协议的学习zhuanlan.zhihu.com 文章中也提到,我 ...
- java arp 攻击_基于Jpcap的Java ARP断网攻击
这是大二学习计算机网络的时候写的一个小程序,可实现局域网内断网攻击.这也作为学习网络层.数据链路层(在OSI模型中ARP协议属于链路层:而在TCP/IP模型中,ARP协议属于网络层)的其中一个小实验吧 ...
- java arp 攻击_用JAVA代码实现ARP攻击 | 学步园
ARP攻击原理 一台电脑通过网络访问另一台电脑的时候,在数据链路层需要知道对方的MAC地址进行真正的物理通信. 而电脑上的应用程序通常都是根据另一台电脑的IP地址来和对方建立通信,这时候就需要有一个协 ...
- 局域网arp攻击_「网络安全」常见攻击篇(23)——ARP攻击
什么是ARP攻击? ARP攻击是利用ARP协议设计时缺乏安全验证漏洞来实现的,通过伪造ARP数据包来窃取合法用户的通信数据,造成影响网络传输速率和盗取用户隐私信息等严重危害. ARP攻击原理 ARP病 ...
- H3C防止同网段arp欺骗攻击配置
防止同网段ARP欺骗攻击的配置方法 二层交换机实现仿冒网关的ARP防攻击:一.组网需求:1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二.组网图: 图1二层交换机防ARP攻击组网S3552P是三 ...
最新文章
- How to enable mod_rewrite on Apache?
- SQL SERVER 2008权限配置
- @Singleton能保证单例吗
- vs2008 MFC访问Access 2010数据库
- RobotStudio碰撞检测的设定
- spark结构化流保存mysql_[Spark]-结构化流之输出篇(待重修)
- 定义控制台应用程序的入口点 ConsoleApplication
- Ruby On Rails和locomotiveCMS安装经历
- 3.24 爬虫小周记
- 富瑞和SMBC Group宣布结成战略联盟来推动增长
- linux 帝国cms 刷新,帝国cms怎么自动刷新网站首页?(帝国CMS自动刷新首页的方法)...
- Linux使用nvida-smi查看GPU类型
- win11安装wsl2及linux系统安装anaconda cuda tensorrt
- NOIP2008 ISBN号码(一桶水)【A005】
- Web渗透测试_目录遍历
- 删除dataframe中的某行 删除不掉是为啥
- Beyond Compare 4密钥过期解决办法
- 【C语言】(用函数实现)请给小学生随机出10道加减法的练习题,要求:10以内的加减法,并且能批改。
- vue实现图片滑动验证功能——功能实现
- 零基础学C++——黑马程序员课程笔记(C++核心编程篇)
热门文章
- TCL电视无法开机,如何强制黑屏刷机教程分享
- 月份加日期前面用on还是in_英语具体时间用on还是in,英语在下午用in还是on?
- 《紫川》之帝都风云 第四卷
- 说说大型高并发高负载网站的系统架构 1
- [SDM660 Android9.0]LCD点屏过程
- 剑指Offer面试算法题Java实现
- 2022-2027年中国BOSS系统行业市场全景评估及发展战略规划报告
- 软考(软件设计师)考点总结 -- 程序设计语言基础
- 帝国时代2php存到哪里,window_在Vista、Win7下联网玩QQ对战平台、浩方、帝国时代2,曾几何时,我们在宿舍区组网 - phpStudy...
- 小团队拥有大能量 三十个年轻人的创业故事