arp miss攻击_93交换机出现大量arp miss attack攻击,网关都不通,二层无法封装

最新推荐文章于 2024-07-11 13:49:50 发布
最新推荐文章于 2024-07-11 13:49:50 发布
阅读量7.1k 收藏 10
点赞数 1
文章标签: arp miss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39959236/article/details/111961429
版权

如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10.0.1.254。

图 固定源IP地址ARP Miss攻击

问题原因:扫描网段触发大量的ARP Miss消息,设备CPU一直忙于处理ARP Miss,无法处理其它业务。

解决方法:配置ARP Miss限速,针对源IP进行限速,当单位时间内超过一定数量可以自动阻断攻击源。

定位方法

1. 清除上送CPU的ARP Miss报文统计计数

reset cpu-defend statistics packet-type arp-miss all

2. 等待一段时间(1分钟),查看这段时间内上送CPU的ARP Miss数量

[Quidway] display cpu-defend statistics packet-typearp-miss slot 2

Statistics on slot 2:

------------------------------------------------------------------------------------------------------------------

Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)

------------------------------------------------------------------------------------------------------------------

Arp-miss 40800 35768 600 52600

------------------------------------------------------------------------------------------------------------------

查看通过和丢弃的报文数量,如果上送或丢弃的报文数量较大,则可认为是ARPMiss攻击。

配置指导1. 可以通过调整arp-miss的cpcar值来缓解CPU过高问题:

#

cpu-defend policy test

car packet-type arp-miss cir 64 cbs 12032

#

slot 2

cpu-defend-policy test

#

此方法只能缓解CPU过高问题,但无法解决用户上线慢等问题。框式设备V100R001版本可以通过命令cpcar arp-miss cir进行配置。

2. 可以通过延长ARP假表老化时间来缓解CPU过高问题。当IP报文触发arp miss后,交换机会发送arp请求进行探测,同时生成临时的arp表项,将后续发送到此IP的数据报文直接丢弃,以免造成对CPU的冲击。当交换机收到arp回应后,会将此临时的arp表项修正,如果在规定的时间内未收到arp回应,则将该临时表项删除,后续的IP报文即可继续触发上述arp miss流程:

#

interface Vlanif500

arp-fake expire-time 30 -- 默认时间5s

ip address 10.0.1.1 255.255.255.0

#

设置过大的假表老化时间,可能会导致arp学习不实时,进而导致数据流量丢失。

3. 配置基于源IP的ARP Miss限速,系统会自动识别超过速率的源IP且会自动下发ACL进行惩罚,默认情况下,所有IP地址的arp miss源抑制速率为5pps,默认惩罚时间为50秒:

[Quidway] arp-miss speed-limit source-ip maximum 3 //一个源IP最多产生arp-miss速率为3pps,缺省为5pps

可以通过命令查看攻击源:

[Quidway] displayarp anti-attack arpmiss-record-info

Interface IP address Attack time Block time Aging-time

----------------------------------------------------------------------------------------------------------------

GigabitEthernet5/0/0 10.0.0.1 2009-09-16 10:18 2009-09-16 10:18 50

----------------------------------------------------------------------------------------------------------------

There are 1 records in Arp-miss table

此命令会自动下发基于源IP的ARP惩罚ACL,若不再需要其上送控制平面,则可以通过cpu-defend policy中配置黑名单功能彻底终结该源的攻击。

weixin_39959236
关注
S交换机ARP Miss告警,怎么办?
weixin_34331102的博客
01-17 6236
S交换机ARP Miss告警,怎么办?先弄明白ARP Miss是怎么产生的:设备在转发报文时,如果报文的目的地址和设备三层接口地址在同一个网段,正常情况下会查找arp进行直接转发,如果查找不到arp表项,就会上送CPU触发ARP-MISS流程来学习ARP。上层软件收到ARP Miss消息后,首先生成一个ARP假表项发送给设备,防止相同的ARP Miss消息不断上报;然后上层...
arp攻击与防范
fanbb_jane的博客
03-30 4083
arp攻击与防范 一 攻击方式 ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。在网络中,常见的ARP攻击方式主要包括: ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景: 设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文
ARP欺骗攻击的7种解决方案,我最推荐你用这种
最新发布
07-11 1861
当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该 ARP 报文的用户是合法用户,允许此用户的 ARP 报文通过,否则就认为是攻击,丢弃该 ARP 报文。设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP攻击表项,并在后续一段时间内丢弃该接口收到的同 VLAN 以及同源 MAC 地址的 ARP报文,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。对于 ARP 请求报文,只检查源 IP 地址。
【分享】网段扫描攻击
XMWS-IT
09-12 247
交换机收到ARP回应后,会将此临时的ARP表项修正,如果在规定的时间内未收到ARP回应,则将该临时表项删除,后续的IP报文即可继续触发上述ARP Miss流程。如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量ARP Miss消息。大量的网段扫描报文会产生大量ARP Miss消息,导致交换机的资源浪费在处理ARP Miss消息上,影响交换机对其他业务的处理,形成扫描攻击
ARP安全介绍
2301_76769041的博客
04-08 1102
ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,通过部署ARP安全的相关子特性,不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击,保证网络设备和网络通信的安全性。
arp miss攻击_S6700交换机出现大量arp-miss情况
weixin_39875028的博客
12-24 1694
问题描述S6700上联运营商核心路由设备,S6700位于核心交换,网关位于核心交换上,设备之间路由通过静态路由传递,下挂服务器全为公网地址,CE5800为两条ETH-TRUNK上联S6700,之间为二层透传。当S6700接入公网时,出现大量arp-miss包,导致cpu利用率高达94%,直连核心路由地址丢包严重。告警信息S6700-1 %%01DEFD/4/CPCAR_DROP_MPU(l)[56...
arp miss
weixin_30748995的博客
10-26 1028
设备在转发报文时,如果报文的目的地址和设备三层接口地址在同一个网段,正常情况下会查找arp进行直接转发,如果查找不到arp表项,就会上送CPU触发ARP-MISS流程来学习ARP。 上层软件收到ARP Miss消息后,首先生成一个ARP假表项发送给设备,防止相同的ARP Miss消息不断上报;然后上层软件发送ARP请求报文,在收到回应后,用学习到的ARP表项替换原有的假表项发送给设备,流量...
ARP Miss攻击处置
weixin_40111182的博客
08-11 5315
1 ARP介绍 2 ARP MISS攻击发现 查看ARP Miss数量 系统视图查看攻击源:displayarp anti-attack arpmiss-record-info 3 ARP MISS攻击处置 a 调整arp-miss的cpcar值来缓解CPU过高问题 b 提高arp表老化时间(默认时间:5s) 接口视图:arp-fake expire-time 30 c 降低基于源ip限制arp包发送速率 arp-miss speed-limit sourc
arp miss攻击_<网络应用>华为S9300核心交换机ARP安全配置
weixin_39901404的博客
01-14 1609
ARP安全简介ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络设备的安全性和健壮性。网络中有很多针对ARP 表项的攻击攻击者通过发送大量伪造的ARP 请求、应答报文攻击网络设备,主要有ARP 缓冲区溢出攻击ARP 拒绝服务攻击两种。1.ARP 缓冲区溢出攻击攻击者向设备发送大量虚假的ARP 请求报文和免费ARP 报文,造成设备上的ARP 缓存溢出,无法缓...
arp miss攻击_ARP配置教程(一)
weixin_35238815的博客
12-24 3794
一、防ARP泛洪攻击当针对全局、VLAN、接口的ARP报文限速以及根据源MAC地址、源IP地址进行ARP报文限速中的多个限速功能同时配置时,设备对同时满足这些限速条件的ARP报文以其中最小的限速值进行限速。当针对全局、VLAN、接口的ARP Miss消息限速以及根据源IP地址进行ARP Miss消息限速中的多个限速功能同时配置时,设备对同时满足这些限速条件的ARP Miss消息以其中最小的限速值进...
arp miss攻击_详述网络中ARP安全的综合功能
weixin_30268555的博客
12-24 3446
针对以上攻击ARP安全提供如下措施保证网络设备的安全性:针对第一种攻击,可配置ARP网关冲突,防止攻击者冒充网关窃听用户主机信息。针对第二种攻击,可配置ARP Miss消息限速,减小CPU的负担,保护目的网络的带宽资源。针对第三种攻击,可配置ARP报文限速,以保护CPU资源。组网需求如图1所示,Switch作为网关通过接口GE1/0/3连接一台服务器,通过接口GE1/0/1、GE1/0/2连接...
arp.rar_ARP报文获取_Dos attack code_arp_attack_dos攻击 检测
09-21
标题中的“arp.rar_ARP报文获取_Dos attack code_arp_attack_dos攻击 检测”表明这是一个关于ARP协议的资源,包含了ARP报文的捕获和分析,特别是与DoS(拒绝服务)攻击相关的代码。这个压缩包很可能是程序员或网络...
ARP.zip_ARP封装发送_arp封装_发送ARP
09-19
`ARP.zip_ARP封装发送_arp封装_发送ARP`这个压缩包文件涉及到的核心知识点是ARP协议的封装和发送过程,以及如何通过编程实现这一功能。 首先,我们来理解ARP的基本原理。在TCP/IP模型中,当主机需要向其他主机发送...
ARP.zip_arp_arp dos_防DOS_防arp攻击
09-24
ARP攻击的,是一个批处理,网上很多,也没什么技术,很常见的
arp miss攻击_【交换机每周FAQ】交换机arp-miss原理以及如何排查。
weixin_35662171的博客
12-24 3124
ARP-Miss相关典型问题一: ARP扫描如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10.0.1.254。图 固定源IP地址ARP Miss攻击问题原因:扫描网段触发大量ARP Miss消息,设备CPU一直忙于处理ARP Miss无法处理其它业务。解决方法:配置ARP Miss限速,针...
arp miss攻击_华为S27/S5700交换机配置配置防止ARP中间人攻击
weixin_35421203的博客
12-24 1898
display arp anti-attack configuration check user-bind interface ethernet 0/0/1arp anti-attack check user-bind enablearp anti-attack check user-bind alarm enablearp anti-attack check user-bind alarm t...
arp miss攻击_如何查看是否被arp攻击
weixin_36467992的博客
12-24 2707
佰佰安全网小编一起来看一看吧。一、 如果网络受到了ARP攻击,可能会出现如下现象:1、用户掉线、频繁断网、上网慢、业务中断或无法上网。2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。3、Ping有时延、丢包或不通。定位ARP攻击时,请先排除链路、环路或路由问题,排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈...
arp miss攻击_ARP攻击导致AR2240下面用户断网
weixin_42504230的博客
12-24 1192
查看cpu-defend,发现有丢包display cpu-defend statistic-----------------------------------------------------------------------Packet Type Pass Packets Drop Packets-------------------------...
交换式以太网与共享式以太网的区别是什么_弱电智能化|什么是交换机交换机与路由器又有什么区别?...
weixin_40007016的博客
11-21 898
一、概念交换机(英文:Switch,意为“开关”)是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。二、主要特点交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值