Хорошо

arp-miss

Опубликовано 2021-1-13 12:19:31Последний ответ янв 13, 2021 19:09:15 319 3 1 0 0
  Награжденные Форбаллы: 0 (Проблема решена)

Добрый день!

Подскажите, как можно опредлелить, какой ip пытаются атаковать? В логах вижу следующую информацию:

Jan 13 2021 13:59:27+00:00 Router_core%SECE/6/ARPMISS(l)[1106]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet0/0/1.166, SourceIP=45.154.252.109, AttackPackets=6 packets per second)

Здесь ясно, что атакую делаю из вне, и видно, что именно на определенный интерфейс. Как увидеть, кто атакован?

  • x

Избранные ответы
user_2909167
Модератор Опубликовано 2021-1-13 14:17:38
Добрый день
Это атака типа arp-miss нагружающая ресурсы сетевого устройства
What are these ARP MISS messages and should they scare us?
ARP MISS messages are messages that are sent to the master control board for processing when the device has a route to a destination but doesn’t have an ARP entry for the next hop of the route. So, if a host sends a large number of IP packets with unsolvable destination IP addresses, the device triggers a large number of ARP Miss messages . When IP packets trigger ARP Miss messages, the device generates temporary ARP entries and sends ARP Request packets to the destination network.

To be clear, these ARP MISS messages are normal in a lot of situations. When someone from outside our network is trying to reach an inside host and the device doesn’t have an ARP entry for the next hop, an ARP miss message will be generated.

Of course they could be the result of an attack as well because not everyone wants our best in this world.
Some attackers could scan hosts on the local network segment or other network segments and send many IP packets with unresolvable destination IP addresses in this way, harming the device. As a result, the device triggers many ARP Miss messages, generat
https://support.huawei.com/enterprise/en/doc/EDOC1000091883/fdbb6754/arp-miss-attack
https://support.huawei.com/enterprise/en/knowledge/EKB1000034908
Развернуть
  • x

Все ответы
Bestyyyyyyy
Bestyyyyyyy Админ Опубликовано 2021-1-13 13:47:55
Добрый день! Благодарим вас за вопрос. Мы уточняем данную информацию. Для более оперативного ответа обратитесь в TAC (cissupport@huawei.com). Спасибо!
Развернуть
  • x

user_2909167
user_2909167 Модератор Опубликовано 2021-1-13 14:17:38
Добрый день
Это атака типа arp-miss нагружающая ресурсы сетевого устройства
What are these ARP MISS messages and should they scare us?
ARP MISS messages are messages that are sent to the master control board for processing when the device has a route to a destination but doesn’t have an ARP entry for the next hop of the route. So, if a host sends a large number of IP packets with unsolvable destination IP addresses, the device triggers a large number of ARP Miss messages . When IP packets trigger ARP Miss messages, the device generates temporary ARP entries and sends ARP Request packets to the destination network.

To be clear, these ARP MISS messages are normal in a lot of situations. When someone from outside our network is trying to reach an inside host and the device doesn’t have an ARP entry for the next hop, an ARP miss message will be generated.

Of course they could be the result of an attack as well because not everyone wants our best in this world.
Some attackers could scan hosts on the local network segment or other network segments and send many IP packets with unresolvable destination IP addresses in this way, harming the device. As a result, the device triggers many ARP Miss messages, generat
https://support.huawei.com/enterprise/en/doc/EDOC1000091883/fdbb6754/arp-miss-attack
https://support.huawei.com/enterprise/en/knowledge/EKB1000034908
Развернуть
  • x

artemrus38
artemrus38 MVE Опубликовано 2021-1-13 19:09:15
Добрый день! Спасибо за информацию. Но данный материал я уже просматривал и некоторые параметры уже настроил, только вот arp-miss speed-limit не трогал, потому, что многие инженеры говорят, если не правильно настроить данный параметр, то можно положить сеть, в плане того, что она будет виснуть. Например, как в данной ситуации определить, какой pps для speed-limit будет оптимальным? В примере (https://support.huawei.com/enterprise/en/doc/EDOC1000091883/fdbb6754/arp-miss-attack) 10, не мало?
Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.