S交换机有ARP Miss告警,怎么办?

先弄明白ARP Miss是怎么产生的:

设备在转发报文时,如果报文的目的地址和设备三层接口地址在同一个网段,正常情况下会查找arp进行直接转发,如果查找不到arp表项,就会上送CPU触发ARP-MISS流程来学习ARP。

上层软件收到ARP Miss消息后,首先生成一个ARP假表项发送给设备,防止相同的ARP Miss消息不断上报;然后上层软件发送ARP请求报文,在收到回应后,用学习到的ARP表项替换原有的假表项发送给设备,流量可以正常转发。

动态ARP假表项有一个老化时间,在老化时间之内,设备不再向上层软件发送ARP Miss消息。老化时间超时后,假表项被清除,设备转发时再次匹配不到对应的ARP表项,重新生成ARP Miss消息上报给上层软件。如此循环重复。

对于同一个源IP发送的触发ARP-MISS流程报文,一秒钟内如果超过门限值(默认为5个),系统会认为这是一种非法的***报文,就会针对该ip地址下发一条ACL规则,丢弃该源IP发送的所有需要上送CPU处理的报文;如果50s之内系统没有再次检测到该源ip发送的报文有arp-miss超过门限的情况,该ACL规则会自动删除,触发arp-miss流程的报文可以继续上送CPU处理

ARP Miss告警示例:

May  8 2014 18:02:00 7706-A %%01SECE/4/ARPMISS(l)[13]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/17, SourceIP=10.0.1.202, AttackPackets=92 packets per second)

May  8 2014 18:01:47 7706-A %%01SECE/4/ARPMISS(l)[14]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/14, SourceIP=10.0.1.22, AttackPackets=6 packets per second)

SECE/4/ARPMISS

日志信息

SECE/4/ARPMISS: Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=[STRING], SourceIP=[STRING], AttackPackets=[ULONG] packets per second)

日志含义

超过了整机arp-miss限速值。

日志参数

参数名称参数含义

[STRING]

接口名。

[STRING]

***报文的源ip地址。

[ULONG]

***源报文数率(单位pps)。

可能原因

***用户发送arp-miss消息数超过了限速值。

处理步骤

系统视图下执行命令display this查看arp-miss消息速率检查值。

系统视图下执行命令arp-miss anti-attack rate-limit packet-number [ interval-value ]重新配置速率检查值。

如果日志产生频繁请联系华为技术支持工程师,否则不用处理。

arp miss攻击_S交换机有ARP Miss告警,怎么办?相关推荐

  1. arp miss攻击_93交换机出现大量arp miss attack攻击,网关都不通,二层无法封装

    如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10.0.1.254. 图 固定源IP地址ARP ...

  2. arp miss攻击_S6700交换机出现大量arp-miss情况

    问题描述 S6700上联运营商核心路由设备,S6700位于核心交换,网关位于核心交换上,设备之间路由通过静态路由传递,下挂服务器全为公网地址,CE5800为两条ETH-TRUNK上联S6700,之间为 ...

  3. 网络工程师必修课之ARP MAC欺骗,交换机静态ARP绑定配置

    一.ARP欺骗 1.我们知道ARP用于IP地址解析成MAC,属于地址解析协议,同时ARP请求为广播行为.网络中经常发生一些不安全隐患 2.攻击主机发送造假的ARP应答,发送局域网中除了被攻击者外其他主 ...

  4. arp miss攻击_如何查看是否被arp攻击

    佰佰安全网小编一起来看一看吧. 一. 如果网络受到了ARP攻击,可能会出现如下现象: 1.用户掉线.频繁断网.上网慢.业务中断或无法上网. 2.设备CPU占用率较高.设备托管.下挂设备掉线.设备主备状 ...

  5. arp miss攻击_【交换机每周FAQ】交换机arp-miss原理以及如何排查。

    ARP-Miss相关典型问题一: ARP扫描如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10. ...

  6. arp miss攻击_网络应用华为S9300核心交换机ARP安全配置

    ARP安全简介 ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络 设备的安全性和健壮性. 网络中有很多针对ARP 表项的攻击,攻击者通过发送大量伪造的ARP 请求 ...

  7. 对ARP病毒攻击的防范和处理及相应工具方法

    如果在使用网络时速度越来越慢,直至掉线,而过一段时间后又可能恢复正常,或者,重启路由器后又可正常上网.故障出现时,网关ping 不通或有数据丢失,那么很有可能是受到了ARP病毒攻击.下面我就谈谈对这种 ...

  8. ARP是怎么工作的?ARP攻击与欺骗又是什么?

    1.什么是ARP? ARP地址解析协议,为网络层协议,用于将MAC地址与IP地址建立映射关系. 2.ARP怎么工作的? 当发送端知道接收端的IP地址,但是不知道其对应的MAC地址,这个时候就需要请求其 ...

  9. 局域网arp攻击_如何排查ARP网络攻击

    ARP攻击危害:众所周知,ARP攻击变得日益猖狂,局域网内频繁性区域或整体掉线.IP地址冲突:网速时快时慢.极其不稳定,严重影响了网络的正常通讯. 那么如何排查ARP网络攻击呢? 首先诊断是否为ARP ...

最新文章

  1. 谷歌编程语言年度榜NO.1:知识体系总结(2021版)
  2. 【刷算法】整数中1出现的次数(从1到n整数中1出现的次数)
  3. DOM-13 【实战】输入及状态改变事件、京东搜索框
  4. leetcode面试题 10.03. 搜索旋转数组(二分法)
  5. MaxCompute Spark 使用和常见问题
  6. ubuntu 安装deb程序文件失败的解决方法
  7. 资源下载| 深度学习Pytoch1.0如何玩?这一门含900页ppt和代码实例的深度学习课程带你飞
  8. java基础 6 基本类型与运算
  9. Birt报表安装及制作
  10. Adobe Reader 2019 Offline Installer, Free Download - Best PDF Reader
  11. php模拟登陆校园教务网络管理系统
  12. 1恢复 群晖raid_关于RAID1阵列数据丢失的恢复
  13. 计算机2.0培训心得,信息技术2.0心得体会
  14. 计算机now函数,玩转NOW函数 日期时间随心变
  15. ios申请企业开发者账号的代理_苹果企业开发者账号的申请详解
  16. 手机与计算机之间的文件传输,电脑与手机如何快速传输文件
  17. -XX:+PrintGCTimeStamps 打印CG发生的时间戳
  18. java基于springboot班级同学录网站管理系统附源码
  19. Protractor AngularJS测试框架教程
  20. 大牛关于学习C++的建议

热门文章

  1. Beautiful Soup库的用法
  2. Activity的四种状态
  3. tfcenter webdav速度测试数据(手机下载速度可达46MB/s)
  4. vue3 项目实践总结
  5. 在电脑服务中找不到mysql_电脑中找不到mysql服务怎么办
  6. ESP8266机智云固件烧写和app连接
  7. NAND FLash基础概念介绍
  8. 什么是Phoenix?
  9. 从入门到精通,Java学习路线导航(附学习资源)
  10. 计算网络节点模块内连通度(within modular degree)和模块间连通度(between modular degree)