检查是否存在ARP攻击

操作步骤

  1. 执行命令display arp查看设备上学习到的ARP表项信息,检查是否存在设备上所有ARP都是同一个MAC地址的情况。如果存在,请检查网络情况,找出ARP的攻击源(可通过获取报文头分析),进行病毒查杀或在设备上配置黑洞MAC或CPU-DEFEND黑名单对攻击报文进行丢弃。临时解决方案可配置静态ARP或ARP严格学习。

    • 配置静态ARP,将合法用户的IP和MAC进行绑定。
      <Huawei> system-view
      [HUAWEI] arp static 10.10.10.10 0000-0000-1234
    • 配置黑洞MAC,对攻击源上送的报文进行丢弃处理。
      <Huawei> system-view
      [HUAWEI] mac-address blackhole 0000-0000-0023

  2. 执行命令display cpu-defend statistics查看设备上送到主控板的报文的统计信息。如果“arp-miss”、“arp-reply”、“arp-request”字段的“Drop Packets”字段值不为0,说明存在ARP攻击。如何处理ARP攻击,请参见网关设备上出现ARP攻击及Drop告警

    <Huawei> display cpu-defend statistics
    -----------------------------------------------------------------------
    Packet Type               Pass Packets        Drop Packets
    -----------------------------------------------------------------------
    8021X                                0                   0
    arp-miss                             5                   0
    arp-reply                         8090                   0
    arp-request                    1446576              127773
    bfd                                  0                   0
    bgp                                  0                   0
    bgp4plus                             0                   0
    dhcp-client                        879                   0
    dhcp-server                          0                   0
    dhcpv6-reply                         0                   0
    dhcpv6-request                       0                   0
    dlsw                                 0                   0
    dns                                  4                   0
    fib-hit                              0                   0
    fr                                   0                   0
    ftp-client                           0                   0
    ftp-server                           0                   0
    fw-dns                               0                   0
    fw-ftp                               0                   0
    fw-http                              0                   0
    fw-rtsp                              0                   0
    fw-sip                               0                   0
    gre-keepalive                        0                   0
    gvrp                                 0                   0
    hdlc                                 0                   0
    http-client                          0                   0
    http-server                          0                   0
    hw-tacacs                            0                   0
    icmp                                59                   0
    icmpv6                             224                   0
    igmp                               539                   0
    ip-option                            0                   0
    ipsec-ike                            0                   0
    ipsec-isa                            0                   0
    ipsec-osa                            0                   0
    isis                             70252                   0
    isisv6                               0                   0
    l2tp                                 0                   0
    lacp                                 0                   0
    lldp                                 0                   0
    ldp                                  0                   0
    nd                                 358                   0
    nd-miss                              0                   0
    nhrp                                 0                   0
    ntp                                  0                   0
    ospf                                 0                   0
    ospfv3                               0                   0
    pim                                  0                   0
    ppp                                  0                   0
    pppoe                                0                   0
    radius                               0                   0
    rip                              11306                   0
    ripng                             7385                   0
    snmp                                 0                   0
    ssh-client                           0                   0
    ssh-server                           0                   0
    sslvpn                               0                   0
    stp                                  0                   0
    tcp                                 15                   0
    telnet-client                    81476                   0
    telnet-server                        0                   0
    ttl-expired                          0                   0
    udp-helper                           0                   0
    unknown-multicast                    0                   0
    unknown-packet                   66146                   0
    voice                                0                   0
    vrrp                                 0                   0
    ---------------------------------------------------------------------
    说明:

    以上显示信息仅是举例,报文类型以设备显示为准。

返回启示录 上一步 下一步


版权所有 © 华为技术有限公司