故障案例:交换机受到ARP报文攻击

故障案例:交换机受到ARP报文攻击
现象描述
如图17-10所示,Switch为网关,Switch_1(框式交换机)经常脱管,且Switch_1下用户存在上网掉线,Ping网关存在时延、不通等现象,而Switch_2下联业务正常,Ping网关正常。
图17-10 故障组网图

图片.png

原因分析
Switch_1上存在源MAC固定的ARP攻击导致用户无法进行正常ARP交互。
问题判断方法
在Switch_1上执行以下操作:
(1)查看设备CPU占用率,判断CPU占用率较高。
<HUAWEI>display cpu-usage
CPU Usage Stat. Cycle: 10 (Second)
CPU Usage : 82% Max: 99%
CPU Usage Stat. Time : 2010-12-18  15:35:56
CPU utilization for five seconds: 68%: one minute: 60%: five minutes: 55%.

发现CPU占用率达到82%。
(2)查看存在临时ARP表项,初步判断设备的ARP表项学习存在问题。

display arp

图片.png

发现有两条ARP表项的“MAC ADDRESS”字段为“Incomplete”即为临时表项,表示有ARP表项学习不到。
(3)判断设备正遭受ARP攻击。
由于有未学习到的ARP表项,查看上送CPU的ARP-Request报文统计信息。

<HUAWEI>display cpu-defend arp-request statistics all

图片.png

发现交换机的4号单板上存在大量ARP-Request报文丢包。

配置攻击溯源识别攻击源,V200R009以及之后的版本,不需要配置攻击溯源,系统默认使能攻击溯源,如果需要对溯源协议、模式或者溯源阈值进行更改,可以参照如下的配置。
<HUAWEI>system-view
[HUAWEI]cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1]auto-defend enable
[HUAWEI-cpu-defend-policy-policy1]auto-defend attack-packet sample 5  //每5个报文抽样识别一次,抽样值过小会消耗过多CPU
[HUAWEI-cpu-defend-policy-policy1]auto-defend threshold 30  //报文达30pps即被识别为攻击,若攻击源较多可调低该值
[HUAWEI-cpu-defend-policy-policy1]undo auto-defend trace-type source-ip source-portvlan  //基于源MAC进行攻击源识别
[HUAWEI-cpu-defend-policy-policy1]undo auto-defend protocol 8021x dhcp icmp igmp tcp telnet ttl-expired udp  //针对ARP攻击进行识别
[HUAWEI-cpu-defend-policy-policy1]quit
[HUAWEI]cpu-defend-policy policy1
[HUAWEI]cpu-defend-policy policy1 global

查看攻击源信息。
[HUAWEI]display auto-defend attack-source
Attack Source User Table (MPU):
------------------------------------------------------------------------------------------------
MacAddress       InterfaceName      Vlan:Outer/Inner      TOTAL
------------------------------------------------------------------------------------------------
0000-0000-00db   GigabitEthernet2/0/22         193           416
------------------------------------------------------------------------------------------------
发现攻击源的MAC地址为0000-0000-00db,位于GigabitEthernet2/0/22端口。

如果该MAC有对应ARP,还可以执行命令display arp | include 0000-0000-00db查询对应的IP。

解决方案
配置黑名单,如果确定是非法用户可以配置黑名单,否则用户排除故障后需要删除黑名单。
#
acl number 4000
 rule 10 permit type 0806 ffff source-mac 0000-0000-00db ffff-ffff-ffff
#
cpu-defend policy 1
 blacklist 1 acl 4000  //针对来自特定用户恶意报文的攻击,设备通过ACL把符合特定特征的用户纳入到黑名单中,被纳入黑名单的用户所发的报文到达设备后均会被丢弃
#
cpu-defend-policy 1
cpu-defend-policy 1 global
#

配置攻击溯源的惩罚功能。
#
cpu-defend policy policy1
 auto-defend enable
 auto-defend threshold 30
 undo auto-defend trace-type source-ip source-portvlan
 undo auto-defend protocol 8021x dhcp icmp igmp tcp telnet ttl-expired udp
 auto-defend action deny  //使能攻击溯源的惩罚功能,并指定惩罚措施。在默认惩罚时间300s内,将识别为攻击的报文全部丢弃
#
 cpu-defend-policy policy1 global
 cpu-defend-policy policy1
#

V200R009以及之后的配置文件
#
cpu-defend policy policy1
 auto-defend threshold 30
 auto-defend protocol arp
 auto-defend action deny  //使能攻击溯源的惩罚功能,并指定惩罚措施。在默认惩罚时间300s内,将识别为攻击的报文全部丢弃
#
 cpu-defend-policy policy1 global
 cpu-defend-policy policy1
#


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 故障案例:交换机受到ARP报文攻击

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!