ARP-Miss相关典型问题一: ARP扫描如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10.0.1.254。
图 固定源IP地址ARP Miss攻击
问题原因:扫描网段触发大量的ARP Miss消息,设备CPU一直忙于处理ARP Miss,无法处理其它业务。
解决方法:配置ARP Miss限速,针对源IP进行限速,当单位时间内超过一定数量可以自动阻断攻击源。
定位方法
1. 清除上送CPU的ARP Miss报文统计计数
reset cpu-defend statistics packet-type arp-miss all
2. 等待一段时间(1分钟),查看这段时间内上送CPU的ARP Miss数量
[Quidway] display cpu-defend statistics packet-typearp-miss slot 2
Statistics on slot 2:
------------------------------------------------------------------------------------------------------------------
Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)
---------------------------------------------------------------------------------------------