点击上方 网络工程师俱乐部 选择 「设为星标」
一手资讯 及时查看
主笔/老杨 编辑/山城
这是网络工程师俱乐部的第617篇文章
晚上好,我是老杨。
今天想就着一个案例和你们聊一聊,换换口味。
从下面这张图,你可以看到,局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。
当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。
另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。
我们来进行一个问题现象的描述:
1. 网络设备CPU占有率较高,正常用户不能学习ARP甚至无法2. 上网。
3. Ping不通。
4. 网络设备不能管理。
你接下来,会怎么处理这个网络?
这就是老杨今天想和你聊的问题,分享一下遇到ARP泛洪攻击,网络工程师标准的处理方式。
今日文章阅读福利:《 网络设计解决方案 》高清电子版
添加老杨微信,发送暗号“方案”,前15名粉丝即可获取本份精选资源。
当然,添加老杨也可以进入全国网工交流群,和萌新大佬一起交流,获取最新的行业情报和技术干货,只要你想,就能满足你。
前15名粉丝 获取网工必备提升
01故障定位的小小思路
1. 执行命令display arp查看受影响用户的ARP是否学习不到。
如果MAC ADDRESS字段显示为Incomplete,表示有ARP学习不到,有可能设备遭受ARP攻击。
2. 由于有未学习到的ARP表项,执行命令display cpu-defend statistics packet-type arp-request all查看上送CPU的ARP-Request报文统计信息。
以此判断设备是否遭受攻击,下述回显发现4号单板上存在大量ARP-Request报文丢包。
说明:
该命令可以查看多次,比如1秒执行一次,查看多次执行的结果。
如上显示,如果Drop(Packets)计数增加很快,比如1秒钟Drop上百个,这说明设备正在遭受ARP攻击,上送的ARP报文已经超过了设备配置的CPCAR范围,攻击ARP报文可能已经挤掉了正常ARP报文,则部分ARP可能学习不到。
3. 确认攻击源,通过攻击溯源功能识别攻击源。
首先,在系统视图下配置防攻击策略:
[HUAWEI] cpu-defend policy policy1[HUAWEI-cpu-defend-policy-policy1] auto-defend enable[HUAWEI-cpu-defend-policy-policy1] auto-defend attack-packet sample 5[HUAWEI-cpu-defend-policy-policy1] auto-defend threshold 30 ???[HUAWEI-cpu-defend-policy-policy1] undo auto-defend trace-type source-portvlan? ?//
auto-defend enable后,缺省情况下溯源类型为source-mac、source-ip和source-portvlan,source-portvlan粒度太大,所以去使能source-port vlan
[HUAWEI-cpu-defend-policy-policy1]undo auto-defend protocol dhcp icmp igmp tcp telnet ttl- expired udp// auto-defend enable后,缺省情况下攻击溯源的协议类比较多,这里只保留arp报文攻击溯源,如果有其它协议也需要攻击溯源,则不要undo掉。
接下来,应用防攻击策略policy1。
最后,通过命令display auto-defend attack-source slot 4查看攻击源的MAC地址。
说明:识别的MAC中可能包含网关的MAC地址或互连网络设备的MAC,需要注意剔除。
通过上述的整体思路,我们终于能判断出来,问题根因就是以下两点:
1.由于终端中毒频繁发送大量ARP报文。
2.下挂网络成环产生大量的ARP报文。
怎么解决这俩毛病,我们接着往下看。
02ARP泛洪攻击的处理步骤
1. 在接口下配置ARP表项限制。
设备支持接口下的ARP表项限制,如果接口已经学习到的ARP表项数目超过限制值,系统不再学习新的ARP表项,但不会清除已经学习到的ARP表项,会提示用户删除超出的ARP表项。
配置命令如下:
<HUAWEI> system-view[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] arp-limit vlan 10 maximum 20
2. 配置针对源IP地址的ARP报文速率抑制的功能。
在一段时间内,如果设备收到某一源IP地址的ARP报文数目超过设定阈值,则不处理超出阈值部分的ARP请求报文。
<HUAWEI> system-view[HUAWEI] arp speed-limit source-ip 10.0.0.1 maximum 50
说明:缺省情况下,对ARP报文进行时间戳抑制的抑制速率为5pps,即每秒处理5个ARP报文。
3. 根据排查出的攻击源MAC配置黑名单过滤掉攻击源发出的ARP报文。
[HUAWEI] acl 4444[HUAWEI-acl-L2-4444] rule permit l2-protocol arp source-mac 0-0-1 vlan-id 3[HUAWEI-acl-L2-4444] quit[HUAWEI] cpu-defend policy policy1[HUAWEI-cpu-defend-policy-policy1] blacklist 1 acl 4444[HUAWEI-cpu-defend-policy-policy1] quit
接下来应用防攻击策略policy1。
4. 如果上述配置无法解决,比如源MAC变化或源IP变化的ARP攻击源来自某台接入设备下挂用户,在接入侧交换机上配置流策略限速,不让该接入侧设备下的用户影响整个网络。
[HUAWEI] acl 4445[HUAWEI-acl-L2-4445] rule permit l2-protocol arp[HUAWEI-acl-L2-4445] quit[HUAWEI] traffic classifier policy1[HUAWEI-classifier-policy1] if-match acl 4445[HUAWEI-classifier-policy1] quit[HUAWEI] traffic behavior policy1[HUAWEI-behavior-policy1] car cir 32[HUAWEI] traffic policy policy1[HUAWEI-trafficpolicy-policy1] classifier policy1 behavior policy1[HUAWEI] interface GigabitEthernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] traffic-policy policy1 inbound
以上,就是今天所有内容的分享,欢迎转发给同行分享、讨论,也欢迎你在留言区留下你的见解和看法,一起互动下
■ 文章来源:本文素材整理参考自《交换机在江湖》,由网络工程师俱乐部汇总,转载请注明出处,侵删。
网工界最有含金量的思科/华为认证,到底是啥?
拿下思科/华为认证之后,身为网工的你可以:
跨越90%企业的招聘硬门槛
增加70%就业机会
拿下BAT全国TOP100大厂敲门砖
体系化得到网络技术硬实力
IE大佬年薪可达30w+
如何了解+系统学习?
识别下方二维码加老杨为好友
好友验证请备注“考证”
获得1v1专属咨询+报班千元满减券
前30名粉丝 免费获得老杨答疑机会
- 推荐阅读 -