卧槽!放个假,交换机受到ARP攻击了,怎么破?

简介: 卧槽!放个假,交换机受到ARP攻击了,怎么破?


Part1问题现象描述

如图1所示,Switch为网关,Switch_1经常脱管,且Switch_1下用户存在掉线、Ping网关存在时延、不通等现象,而Switch_2下联业务正常、Ping网关正常。


图1 故障组网图

Part2问题根因说明

Switch_1上存在源MAC固定的ARP攻击导致用户无法进行正常ARP交互。

Part3问题判断方法

在Switch_1上执行以下操作:

查看设备CPU占用率,判断CPU占用率较高

<HUAWEI>displaycpu CPUutilizationstatisticsat2015-12-0411:04:40820ms SystemCPUUsingPercentage:82% CPUutilizationforfiveseconds:82%,oneminute:82%,fiveminutes:82%. MaxCPUUsage:87% MaxCPUUsageStat.Time:2015-11-2816:55:21599ms

发现CPU占用率达到82%。

查看存在临时ARP表项,初步判断设备的ARP表项学习存在问题。

<HUAWEI>displayarp ARPEntryTypes:D-Dynamic,S-Static,I-Interface,O-OpenFlow EXP:Expire-timeVLAN:VLANorBridgeDomain IPADDRESSMACADDRESSEXP(M)TYPE/VLANINTERFACEVPN-INSTANCE ------------------------------------------------------------------------------ 10.137.222.13900e0-fc01-4422I-MEth0/0/0 10.1.1.1200b-c739-130cIVlanif10 10.2.3.4200b-c739-1316IVlanif200 12.1.1.1200b-c739-1302I10GE4/0/8 12.1.1.2f84a-bff0-cac212D10GE4/0/8 50.1.1.2Incomplete1D10GE4/0/22 50.1.1.3Incomplete1D10GE4/0/22 ...... ------------------------------------------------------------------------------

发现有两条ARP表项的“MAC ADDRESS”字段为“Incomplete”即为临时表项,表示有ARP表项学习不到。

判断设备正遭受ARP攻击。由于有未学习到的ARP表项,查看上送CPU的ARP-Request报文统计信息。

<HUAWEI>displaycpu-defendstatisticspacket-typearpall Statistics(packets)onslot2: -------------------------------------------------------------------------------- PacketTypeTotalPassedTotalDroppedLastDroppingTime Last5MinPassedLast5MinDropped -------------------------------------------------------------------------------- arp00- 00 -------------------------------------------------------------------------------- Statistics(packets)onslot4: -------------------------------------------------------------------------------- PacketTypeTotalPassedTotalDroppedLastDroppingTime Last5MinPassedLast5MinDropped -------------------------------------------------------------------------------- arp10654944380928- 30 --------------------------------------------------------------------------------

发现交换机的4号单板上存在大量ARP报文丢包。

配置攻击溯源识别攻击源。

<HUAWEI>system-view [~HUAWEI]cpu-defendpolicypolicy1 [*HUAWEI-cpu-defend-policy-policy1]auto-defendenable [*HUAWEI-cpu-defend-policy-policy1]auto-defendattack-packetsample5//每5个报文抽样识别一次,抽样值过小会消耗过多CPU [*HUAWEI-cpu-defend-policy-policy1]auto-defendthreshold30//报文达30pps即被识别为攻击,若攻击源较多可调低该值 [*HUAWEI-cpu-defend-policy-policy1]auto-defendtrace-typesource-mac//基于源MAC进行攻击源识别 [*HUAWEI-cpu-defend-policy-policy1]auto-defendprotocolarp//针对ARP攻击进行识别 [*HUAWEI-cpu-defend-policy-policy1]quit [*HUAWEI]cpu-defend-policypolicy1 [*HUAWEI]commit

查看攻击源信息。

[~HUAWEI]displayauto-defendattack-source AttackSourceUserTableonSlot4: ------------------------------------------------------------------------- MACAddressInterfacePacketTypeVLAN:Outer/InnerTotal ------------------------------------------------------------------------- 0000-c102-010210GE4/0/22ARP1000/4832 -------------------------------------------------------------------------

发现攻击源的MAC地址为0000-c102-0102,位于10GE4/0/22端口。

Part4解决方案

配置黑名单。

# aclnumber4000 rule10permittypearpsource-mac0000-c102-0102 # cpu-defendpolicy1 blacklist1acl4000//针对来自特定用户恶意报文的攻击,设备通过ACL把符合特定特征的用户纳入到黑名单中,被纳入黑名单的用户所发的报文到达设备后均会被丢弃 # cpu-defend-policy1 #

配置攻击溯源的惩罚功能。

# cpu-defendpolicypolicy1 auto-defendenable auto-defend action deny //使能攻击溯源的惩罚功能,并指定惩罚措施。在默认惩罚时间300s内,将识别为攻击的报文全部丢弃 auto-defendalarmenable auto-defendthreshold30 auto-defendtrace-typesource-mac auto-defendprotocolarp # cpu-defend-policypolicy1 #
相关文章
|
7月前
|
网络协议
网络攻击-arp攻击
网络攻击-arp攻击
85 0
|
网络协议 Linux
网络协议与攻击模拟-04-实施ARP攻击与欺骗
网络协议与攻击模拟-04-实施ARP攻击与欺骗
126 1
网络协议与攻击模拟-04-实施ARP攻击与欺骗
|
4月前
|
网络协议
交换机ARP学习异常,看网工大佬是如何处理的?
交换机ARP学习异常,看网工大佬是如何处理的?
|
4月前
|
网络协议 网络虚拟化
遇到ARP欺骗攻击,咋整?别慌!这3招教制服它!
遇到ARP欺骗攻击,咋整?别慌!这3招教制服它!
312 0
|
6月前
|
存储 缓存 网络协议
ARP欺骗与攻击原理
ARP欺骗与攻击原理
189 0
|
7月前
|
缓存 监控 网络协议
面对ARP攻击,怎么做好主机安全,受到ARP攻击有哪些解决方案
ARP攻击的具体原理主要是基于ARP(Address Resolution Protocol,地址解析协议)的漏洞进行欺骗和攻击。ARP协议是TCP/IP协议族中的一个重要协议,用于实现IP地址到MAC地址的映射。然而,由于ARP协议在设计时缺乏必要的安全验证机制,使得攻击者有机会进行欺骗和攻击。
|
7月前
|
缓存 网络协议 安全
使用 eNSP 模拟交换机防御 ARP 泛洪
使用 eNSP 模拟交换机防御 ARP 泛洪攻击
|
网络协议 Linux 网络安全
Kali Linux中的ARP欺骗攻击如何进行
Kali Linux中的ARP欺骗攻击如何进行
389 0
|
缓存 监控 网络协议
防御ARP攻击和ARP欺骗并查找攻击主机
防御ARP攻击和ARP欺骗并查找攻击主机
479 0
|
监控 网络协议 安全
分析ARP攻击与欺骗
分析ARP攻击与欺骗
265 0