ARP-Miss相关典型问题一: ARP扫描如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10.0.1.254。

图 固定源IP地址ARP Miss攻击

问题原因:扫描网段触发大量的ARP Miss消息,设备CPU一直忙于处理ARP Miss,无法处理其它业务。

解决方法:配置ARP Miss限速,针对源IP进行限速,当单位时间内超过一定数量可以自动阻断攻击源。

定位方法

1. 清除上送CPU的ARP Miss报文统计计数

reset cpu-defend statistics packet-type arp-miss all

2. 等待一段时间(1分钟),查看这段时间内上送CPU的ARP Miss数量

[Quidway] display cpu-defend statistics packet-typearp-miss slot 2

Statistics on slot 2:

------------------------------------------------------------------------------------------------------------------

Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)

------------------------------------------------------------------------------------------------------------------

Arp-miss 40800 35768 600 52600

------------------------------------------------------------------------------------------------------------------

查看通过和丢弃的报文数量,如果上送或丢弃的报文数量较大,则可认为是ARPMiss攻击。

配置指导1. 可以通过调整arp-miss的cpcar值来缓解CPU过高问题:

#

cpu-defend policy test

car packet-type arp-miss cir 64 cbs 12032

#

slot 2

cpu-defend-policy test

#

此方法只能缓解CPU过高问题,但无法解决用户上线慢等问题。框式设备V100R001版本可以通过命令cpcar arp-miss cir进行配置。

2. 可以通过延长ARP假表老化时间来缓解CPU过高问题。当IP报文触发arp miss后,交换机会发送arp请求进行探测,同时生成临时的arp表项,将后续发送到此IP的数据报文直接丢弃,以免造成对CPU的冲击。当交换机收到arp回应后,会将此临时的arp表项修正,如果在规定的时间内未收到arp回应,则将该临时表项删除,后续的IP报文即可继续触发上述arp miss流程:

#

interface Vlanif500

arp-fake expire-time 30 -- 默认时间5s

ip address 10.0.1.1 255.255.255.0

#

设置过大的假表老化时间,可能会导致arp学习不实时,进而导致数据流量丢失。

3. 配置基于源IP的ARP Miss限速,系统会自动识别超过速率的源IP且会自动下发ACL进行惩罚,默认情况下,所有IP地址的arp miss源抑制速率为5pps,默认惩罚时间为50秒:

[Quidway] arp-miss speed-limit source-ip maximum 3 //一个源IP最多产生arp-miss速率为3pps,缺省为5pps

可以通过命令查看攻击源:

[Quidway] displayarp anti-attack arpmiss-record-info

Interface IP address Attack time Block time Aging-time

----------------------------------------------------------------------------------------------------------------

GigabitEthernet5/0/0 10.0.0.1 2009-09-16 10:18 2009-09-16 10:18 50

----------------------------------------------------------------------------------------------------------------

There are 1 records in Arp-miss table

此命令会自动下发基于源IP的ARP惩罚ACL,若不再需要其上送控制平面,则可以通过cpu-defend policy中配置黑名单功能彻底终结该源的攻击。

arp miss攻击_【交换机每周FAQ】交换机arp-miss原理以及如何排查。相关推荐

  1. arp miss攻击_如何查看是否被arp攻击

    佰佰安全网小编一起来看一看吧. 一. 如果网络受到了ARP攻击,可能会出现如下现象: 1.用户掉线.频繁断网.上网慢.业务中断或无法上网. 2.设备CPU占用率较高.设备托管.下挂设备掉线.设备主备状 ...

  2. arp miss攻击_详述网络中ARP安全的综合功能

    针对以上攻击,ARP安全提供如下措施保证网络设备的安全性: 针对第一种攻击,可配置ARP防网关冲突,防止攻击者冒充网关窃听用户主机信息. 针对第二种攻击,可配置ARP Miss消息限速,减小CPU的负 ...

  3. arp miss攻击_网络应用华为S9300核心交换机ARP安全配置

    ARP安全简介 ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络 设备的安全性和健壮性. 网络中有很多针对ARP 表项的攻击,攻击者通过发送大量伪造的ARP 请求 ...

  4. arp miss攻击_华为交换机ARP-MISS是啥意思?有什么用

    展开全部 华为交换机ARP-MISS是交换模块,"开关"是一种用于电(光)信号转发的网62616964757a686964616fe78988e69d833133343363343 ...

  5. 局域网arp攻击_谈谈电子欺骗中的ARP欺骗

    ARP欺骗是一种非常古老的电子欺骗攻击,虽然从诞生到现在已经过去了二十多年,但在很多网络中仍然有效.之前写的 沈传宁:谈谈TCP/IP协议的学习​zhuanlan.zhihu.com 文章中也提到,我 ...

  6. java arp 攻击_基于Jpcap的Java ARP断网攻击

    这是大二学习计算机网络的时候写的一个小程序,可实现局域网内断网攻击.这也作为学习网络层.数据链路层(在OSI模型中ARP协议属于链路层:而在TCP/IP模型中,ARP协议属于网络层)的其中一个小实验吧 ...

  7. java arp 攻击_用JAVA代码实现ARP攻击 | 学步园

    ARP攻击原理 一台电脑通过网络访问另一台电脑的时候,在数据链路层需要知道对方的MAC地址进行真正的物理通信. 而电脑上的应用程序通常都是根据另一台电脑的IP地址来和对方建立通信,这时候就需要有一个协 ...

  8. 局域网arp攻击_「网络安全」常见攻击篇(23)——ARP攻击

    什么是ARP攻击? ARP攻击是利用ARP协议设计时缺乏安全验证漏洞来实现的,通过伪造ARP数据包来窃取合法用户的通信数据,造成影响网络传输速率和盗取用户隐私信息等严重危害. ARP攻击原理 ARP病 ...

  9. H3C防止同网段arp欺骗攻击配置

    防止同网段ARP欺骗攻击的配置方法 二层交换机实现仿冒网关的ARP防攻击:一.组网需求:1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二.组网图: 图1二层交换机防ARP攻击组网S3552P是三 ...

最新文章

  1. How to enable mod_rewrite on Apache?
  2. SQL SERVER 2008权限配置
  3. @Singleton能保证单例吗
  4. vs2008 MFC访问Access 2010数据库
  5. RobotStudio碰撞检测的设定
  6. spark结构化流保存mysql_[Spark]-结构化流之输出篇(待重修)
  7. 定义控制台应用程序的入口点 ConsoleApplication
  8. Ruby On Rails和locomotiveCMS安装经历
  9. 3.24 爬虫小周记
  10. 富瑞和SMBC Group宣布结成战略联盟来推动增长
  11. linux 帝国cms 刷新,帝国cms怎么自动刷新网站首页?(帝国CMS自动刷新首页的方法)...
  12. Linux使用nvida-smi查看GPU类型
  13. win11安装wsl2及linux系统安装anaconda cuda tensorrt
  14. NOIP2008 ISBN号码(一桶水)【A005】
  15. Web渗透测试_目录遍历
  16. 删除dataframe中的某行 删除不掉是为啥
  17. Beyond Compare 4密钥过期解决办法
  18. 【C语言】(用函数实现)请给小学生随机出10道加减法的练习题,要求:10以内的加减法,并且能批改。
  19. vue实现图片滑动验证功能——功能实现
  20. 零基础学C++——黑马程序员课程笔记(C++核心编程篇)

热门文章

  1. TCL电视无法开机,如何强制黑屏刷机教程分享
  2. 月份加日期前面用on还是in_英语具体时间用on还是in,英语在下午用in还是on?
  3. 《紫川》之帝都风云 第四卷
  4. 说说大型高并发高负载网站的系统架构 1
  5. [SDM660 Android9.0]LCD点屏过程
  6. 剑指Offer面试算法题Java实现
  7. 2022-2027年中国BOSS系统行业市场全景评估及发展战略规划报告
  8. 软考(软件设计师)考点总结 -- 程序设计语言基础
  9. 帝国时代2php存到哪里,window_在Vista、Win7下联网玩QQ对战平台、浩方、帝国时代2,曾几何时,我们在宿舍区组网 - phpStudy...
  10. 小团队拥有大能量 三十个年轻人的创业故事