Cuando los mensaje ARP MISS se comportan de forma anormal

Publicado 2019-1-4 12:43:09 100 0 0 0

Hola, tal vez cada uno de ustedes vio al menos una vez estas alertas de DEFD / 4 / CPCAR_DROP_MPU en sus logs, indicando que los mensajes de ARP MISS excedieron el límite de CPCAR en la CPU.



DEFD/4/CPCAR_DROP_MPU(l)[0]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=arp-miss, ExceededPacketCount=682)


¿Cuáles son estos mensajes de ARP MISS y deberían asustarnos?


Los mensajes ARP MISS son mensajes que se envían al master control board para procesarlos cuando el dispositivo tiene una ruta hacia un destino pero no tiene una entrada ARP para el siguiente salto de la ruta. Por lo tanto, si un host envía una gran cantidad de paquetes IP hacia una direccion IP sin resolver, el dispositivo dispara una gran cantidad de mensajes ARP Miss. Cuando los paquetes IP activan los mensajes ARP Miss, el dispositivo genera entradas ARP temporales y envía los paquetes de ARP Reqiest a la red de destino.



Para ser claros, estos mensajes ARP MISS son normales en muchas situaciones. Cuando alguien de fuera de nuestra red está intentando llegar a un host interno y el dispositivo no tiene una entrada ARP para el próximo salto, se generará un mensaje de ARP MISS.



Por supuesto, también podrían ser el resultado de un ataque porque no todos quieren lo mejor en este mundo.


Algunos atacantes podrían escanear hosts en el segmento de red local u otros segmentos de la red y enviar muchos paquetes IP con direcciones IP de destino sin resolución de esta manera, dañando el dispositivo. Como resultado, el dispositi****ctiva muchos mensajes de ARP Miss, genera una gran cantidad de entradas falsas de ARP y difunde paquetes de ARP REQUEST para resolver las direcciones IP de destino, lo que lleva a una sobrecarga de la Unidad Central de Procesamiento (CPU)                          


¿Cómo ver si tienes estas entradas falsas ARP?


Puede verificar los registros incompletos de arp con el comando display arp all. Si el campo DIRECCIÓN MAC está incompleto para algunas direcciones IP, significa que se creó una entrada ARP falsa para él.


Example :

<HUAWEI> display arp all 

IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-NSTANCE       VLAN

192.168.0.1     Incomplete      0         D-0         GE0/0/10                                           200/-

192.168.0.10   Incomplete      1         D-0         GE0/0/10                                          200/-



¿Cómo distinguir el bien del mal?


No hay muchas maneras de saber cuál es qué, pero es bueno saber que hay algunas formas de luchar contra estos mensajes de ARP MISS cuando se olvidan de sus lugares.


Uno de ellos y quizás el primero que podría probar en este caso es establecer el tiempo de antigüedad de las entradas temporales de ARP.


Como dije, cuando el paquete IP desencadena los mensajes ARP Miss, el dispositivo genera entradas ARP temporales y envía solicitudes ARP a la red de destino. Cuando las entradas temporales de ARP caducan, el dispositivo las borra. Si ninguna entrada ARP coincide con los paquetes IP reenviados por el dispositivo, los mensajes ARP Miss se vuelven a activar y las entradas temporales ARP se regeneran. Este proceso continúa.


De forma predeterminada, el tiempo de caducidad de las entradas ARP temporales es de 1 segundo y puede ser demasiado pequeño. Puede extender el tiempo de vencimiento de las entradas temporales de ARP y reducir la frecuencia de activación de los mensajes de ARP Miss para minimizar el impacto en el dispositivo con este comando arp-falso de caducidad.


Algunas otras formas pueden requerir limitar la tasa de mensajes ARP Miss basados en la dirección IP de origen (comando arp-miss speed-limit source-ip) o limitar la tasa globalmente / vlan / interface (arp-miss anti-attack rate- comando de límite)



¿Cómo comprobar la fuente del ataque?


Una forma de verificar el origen de los mensajes ARP MISS es establecer el número máximo de mensajes ARP Miss que pueden procesarse en un segundo a un valor más bajo con el comando max-source source-ip maximum de arp-miss (el valor predeterminado es 500, por ejemplo, puede configurarlo a 30) y luego verificar si fue un ataque ARP MISS con el comando de visualización arp anti-ataque arpmiss-record-info


Sin embargo, esto es un poco arriesgado porque un valor pequeño puede causar el descarte de paquetes válidos. Si se excede el umbral, el dispositivo descartará todos los paquetes ARP Miss de la dirección IP de origen durante 5 segundos de forma predeterminada.


Otra forma podría ser capturar paquetes para todos los paquetes que van a los destinos que crean las entradas falsas de ARP y ya le he mostrado cómo verificarlo. 


Creo que esta información sobre los mensajes de ARP MISS podría ser útil y si tiene más preguntas, comuníquese con TAC.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba