arp miss攻击_93交换机出现大量arp miss attack攻击,网关都不通,二层无法封装
如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10.0.1.254。
图 固定源IP地址ARP Miss攻击
问题原因:扫描网段触发大量的ARP Miss消息,设备CPU一直忙于处理ARP Miss,无法处理其它业务。
解决方法:配置ARP Miss限速,针对源IP进行限速,当单位时间内超过一定数量可以自动阻断攻击源。
定位方法
1. 清除上送CPU的ARP Miss报文统计计数
reset cpu-defend statistics packet-type arp-miss all
2. 等待一段时间(1分钟),查看这段时间内上送CPU的ARP Miss数量
[Quidway] display cpu-defend statistics packet-typearp-miss slot 2
Statistics on slot 2:
------------------------------------------------------------------------------------------------------------------
Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)
------------------------------------------------------------------------------------------------------------------
Arp-miss 40800 35768 600 52600
------------------------------------------------------------------------------------------------------------------
查看通过和丢弃的报文数量,如果上送或丢弃的报文数量较大,则可认为是ARPMiss攻击。
配置指导1. 可以通过调整arp-miss的cpcar值来缓解CPU过高问题:
#
cpu-defend policy test
car packet-type arp-miss cir 64 cbs 12032
#
slot 2
cpu-defend-policy test
#
此方法只能缓解CPU过高问题,但无法解决用户上线慢等问题。框式设备V100R001版本可以通过命令cpcar arp-miss cir进行配置。
2. 可以通过延长ARP假表老化时间来缓解CPU过高问题。当IP报文触发arp miss后,交换机会发送arp请求进行探测,同时生成临时的arp表项,将后续发送到此IP的数据报文直接丢弃,以免造成对CPU的冲击。当交换机收到arp回应后,会将此临时的arp表项修正,如果在规定的时间内未收到arp回应,则将该临时表项删除,后续的IP报文即可继续触发上述arp miss流程:
#
interface Vlanif500
arp-fake expire-time 30 -- 默认时间5s
ip address 10.0.1.1 255.255.255.0
#
设置过大的假表老化时间,可能会导致arp学习不实时,进而导致数据流量丢失。
3. 配置基于源IP的ARP Miss限速,系统会自动识别超过速率的源IP且会自动下发ACL进行惩罚,默认情况下,所有IP地址的arp miss源抑制速率为5pps,默认惩罚时间为50秒:
[Quidway] arp-miss speed-limit source-ip maximum 3 //一个源IP最多产生arp-miss速率为3pps,缺省为5pps
可以通过命令查看攻击源:
[Quidway] displayarp anti-attack arpmiss-record-info
Interface IP address Attack time Block time Aging-time
----------------------------------------------------------------------------------------------------------------
GigabitEthernet5/0/0 10.0.0.1 2009-09-16 10:18 2009-09-16 10:18 50
----------------------------------------------------------------------------------------------------------------
There are 1 records in Arp-miss table
此命令会自动下发基于源IP的ARP惩罚ACL,若不再需要其上送控制平面,则可以通过cpu-defend policy中配置黑名单功能彻底终结该源的攻击。
arp miss攻击_93交换机出现大量arp miss attack攻击,网关都不通,二层无法封装相关推荐
- arp miss攻击_S6700交换机出现大量arp-miss情况
问题描述 S6700上联运营商核心路由设备,S6700位于核心交换,网关位于核心交换上,设备之间路由通过静态路由传递,下挂服务器全为公网地址,CE5800为两条ETH-TRUNK上联S6700,之间为 ...
- 局域网arp攻击_网络安全基础之ARP攻击和防御
本文转载于 SegmentFault 社区 作者:吴小风 前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的 ...
- 反arp攻击软件_技术干货透析中间人攻击
作者:甜橙安全团队 免责声明;下述内容用仅用于技术研究与探讨,禁止任何非法利用,由此造成的后果概不负责,如有侵权请联系版主,我们会及时处理. 欢迎各位添加微信号:qinchang_198231 ...
- ARP欺骗泛洪攻击的防御——DAI动态ARP监控技术
目录 一.DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二.非DHCP SNOOPING环境下: 三.扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连 ...
- 交换机路由器、ARP欺骗基本知识及实验
数据链路层里的帧结构 数据部分最多1500字节,帧最大一共6+6+2+1500+4=1518字节. 交换机工作原理 原理:收到一个数据帧后,首先学习原MAC地址来形成MAC地址表,然后检查帧中的目标M ...
- java arp 攻击_网络安全基础之ARP攻击和防御
前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的主角ARP协议,通过广播来获取IP地址对应的MAC地址. ...
- 网络工程师必修课之ARP MAC欺骗,交换机静态ARP绑定配置
一.ARP欺骗 1.我们知道ARP用于IP地址解析成MAC,属于地址解析协议,同时ARP请求为广播行为.网络中经常发生一些不安全隐患 2.攻击主机发送造假的ARP应答,发送局域网中除了被攻击者外其他主 ...
- 利用交换机解决局域网ARP问题(51CTO博客出书活动)
此文参加"51CTO博客出书:IT技术案例大征集"活动,欢迎讨论,谢绝转载! *案例名称: <利用交换机解决局域网ARP问题> *技术范围: 交换 ...
- python arp脚本_Python scapy 实现一个简易 arp 攻击脚本
scapy是python写的一个功能强大的交互式数据包处理程序,可用来发送.嗅探.解析和伪造网络数据包,常常被用到网络攻击和测试中. scapy的安装在Linux非常便利,但在Windows下比较复杂 ...
最新文章
- 列举一些RNN类模型的常见使用形式以及常见的应用
- MongoDB 文件(MongoDB fs)
- PCL、XPS转换成PDF的控件activePDF Meridian
- 立创eda封装转cadence_立创EDA05、检查封装、生成PCB
- numpy - np.asarray
- NTP授时服务器(网络校时服务器)对医院信息化建设的重要
- 利用netstat查看http为短连接还是长连接?
- 心理学入门必读好物,《亲密关系》精华版
- linux如何使用ntfs格式的优盘
- influxDB快速入门实战教程
- Gym:102500E:Expeditious Cubing【精度精度】
- 电动汽车基于Origin的数据分析
- sulley测试环境搭建的相关总结
- 拿到pmp的证书就可以做项目经理吗?
- c语言写照明系统的代码,无线LED照明系统设计(ZigBee)的设计与实现(C语言)
- 友豆火山CPG插件开发001-简介初识
- 【迷人的爪哇】—Java数据类型和变量
- Winform 将Ico图标转换为PNG图片
- 【CUDA并行编程之八】Cuda实现Kmeans算法
- 基于PHP+MySQL的学生成绩管理系统