¿Cómo determinar si un switch de la serie S sufre un ataque ARP?

Última respuesta febr. 12, 2019 16:35:07 91 1 0 0

¿Cómo determinar si un switch de la serie S sufre un ataque ARP?

  • x
  • convención:

Moderador Publicado 2019-2-12 16:35:07 Útil(0) Útil(0)

Cuando los switches de la serie S reciben una gran cantidad de mensajes de

ARP Request o ARP Reply, pueden ocurrir los siguientes problemas:


-Los usuarios se desconectan, se desconectan con frecuencia, experimentan

un acceso lento a Internet y la interrupción del servicio, o incluso no

pueden acceder a la red.
-Los switches tienen un alto uso de la CPU o no pueden ser administrados por

el sistema de administración de red (NMS) y sus dispositivos conectados

se desconectan.
- Se presentaran pérdidas de paquetes, retraso o falla en la entrega de datos.

Puede realizar los siguientes pasos para solucionar los problemas anteriores:

se recomienda guardar los resultados de cada paso. Si las soluciónes propuestas

no resuelven los problemas, puede proporcionar el registro de sus acciones

al personal de soporte técnico de Huawei.


1.Ejecute el comando display cpu-defend statistics packet-type { arp-request | arp-reply }

en la vista de usuario para verificar la cantidad de los paquetes ARP Request o ARP Reply

fueron recibidos.

 

- Si el recuento es 0, los switches no eliminan ningún paquete de Request o Reply de ARP.

Luego valla al paso 6.

- Si el recuento no es 0, la tasa de paquetes de Request o Reply de  ARP excede el

límite de tasa CPCAR y se descartaran los paquetes en exceso de ARP. Luego ve al paso 2.

2.Ejecute el comando display cpu-usage en la vista del usuario para

verificar el uso de la CPU de la MPU.


- Si el uso de la CPU está en el rango normal, vaya al paso 3.
- Si el uso de la CPU es superior al 70%, vaya al paso 5.

3. Ejecute el comando car en la vista de políticas de defensa de ataques

para aumentar adecuadamente el límite de velocidad de CPCAP para los

paquetes de ARP Request o ARP Request. Nota: la configuración incorrecta

de CPCAR afectará los servicios en su red.Se recomienda que se ponga en

contacto con los ingenieros de Huawei antes de ajustar la configuración

de CPCAR.El comando car entra en vigor después de aplicar la política de

defensa de ataque.Si la falla persiste o la falla se elimina pero el uso

de la CPU sigue siendo alto, vaya al paso 4.

4. Capture los encabezados de paquetes en la interfaz del lado del usuario y

encuentre al atacante de acuerdo con las direcciones de origen de los paquetes

de Request o Reply de ARP.Si se envían muchos paquetes de Solicitud o Respuesta

ARP desde una dirección MAC o IP de origen, los switches consideran la dirección

de origen como una fuente de ataque.Ejecute el comando arp speed-limit source-ip

[ <ip-address> ] maximum en la vista del sistema para reducir el límite de

velocidad de paquetes ARP en función de la dirección IP de origen o ejecute

arp speed-limit source-mac [ <mac-address> ] maximum para configurar el límite

de velocidad de paquetes ARP en función de la dirección MAC de origen para

adaptarse a las situaciones reales de la red.

 

De forma predeterminada, la función de límite de velocidad de paquetes ARP

basada en la dirección IP de origen está habilitada, y los switches permiten

un máximo de 30 paquetes ARP con la misma dirección IP de origen para pasar

cada segundo. Una vez que la tasa de paquetes ARP alcanza este límite, los 

switches descartan los paquetes ARP posteriores. El límite de velocidad para

los paquetes ARP con la misma dirección MAC de origen es 0, es decir, los 

switches no limitan la velocidad de los paquetes ARP en función de la dirección

MAC de origen.Después de que el límite de velocidad de paquetes ARP basado

en la dirección IP de origen o la dirección MAC se establezca en un valor

más pequeño (como 5 bit / s):


- Si el error persiste, vaya al paso 5.
- Si el error se soluciona pero el uso de la CPU sigue siendo alto, configure una entrada con la dirección MAC en una blacklist para descartar los paquetes ARP enviados por la fuente de ataque. Después de eso, si el uso de la CPU sigue siendo alto, vaya al paso 6.

5. Capture los encabezados de paquetes en la interfaz del lado del usuario y encuentre al atacante de acuerdo con las direcciones de origen de los paquetes de Request o Reply de ARP.

Si se envían muchos paquetes de Request o Reply de  ARP desde una dirección de origen, los switches consideran la dirección de origen como una fuente de ataque. Puede configurar una blacklist o una lista blackhole con la direccion MAC para decartar los paquetes ARP.Si el

problema no se resuelve valla al paso 6.


6. Recopile la siguiente información y póngase en contacto con el personal de asistencia técnica de Huawei:Resultados del procedimiento de solución de problemas anteriormente descritos, archivos de configuración, logs y alarmas de los switches.


  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba