交换机logbuffer日志中sourceIP=0.0.0.0,提示有ARP攻击,请问这是什么情况

新人帖[复制链接]
发表于 : 2020-2-18 10:00:32 最新回复:2020-02-19 11:36:08
170 3
ibrave
ibrave  

  求助帖: (未解决)

为什么源IP地址是全零的这应该怎么查找解决问题求教一下各位大神
用户还反馈说网络经常断可能就是这个问题

Feb 18 2020 07:35:20+08:00 css %SECE/4/STRACK_DENY(l)[15]:Some packets are dropped because an attack is detected.(Interface=XGigabitEthernet2/2/0/4, sourceMAC=0000-0000-0000, sourceIP=172.18.33.24, CVLAN=0, PVLAN=0)
Feb 18 2020 07:35:20+08:00 css %SECE/4/SPECIFY_SIP_ATTACK(l)[16]:The specified source IP address attack occurred.(Slot=LPU14, SourceAttackIP=172.18.33.24, AttackProtocol=ARP, AttackPackets=125 packets per second)
Feb 18 2020 07:35:20+08:00 css %SECE/4/STRACK_DENY(l)[17]:Some packets are dropped because an attack is detected.(Interface=XGigabitEthernet2/2/0/4, sourceMAC=309c-2302-96bf, sourceIP=0.0.0.0, CVLAN=0, PVLAN=0)
Feb 18 2020 07:35:20+08:00 css %SECE/4/USER_ATTACK(l)[18]:User attack occurred.(Slot=LPU14, SourceAttackInterface=XGigabitEthernet2/2/0/4, OuterVlan/InnerVlan=33/0, UserMacAddress=309c-2302-96bf, AttackProtocol=ARP AttackPackets=125 packets per second)
  • x
  • 常规:

点评 回复

跳转到指定楼层
彪彪
彪彪  导师VIP 发表于 2020-2-19 09:17:02 已赞(0) 赞(0)

应该是ARP攻击,接口下配置下arp防护
  • x
  • 常规:

点评 回复

无人问我粥可温,无人为我立黄昏
niuhai211
niuhai211  精英 发表于 2020-2-19 11:28:16 已赞(1) 赞(1)

在堆叠的2号设备的XGigabitEthernet2/2/0/4接口下,VLAN33收到攻击,攻击者IP地址172.18.33.24,源MAC地址是309c-2302-96bf,属于台湾微星公司。
可以查找这个接口及VLAN下包含微星网卡(主板)的设备。
每秒钟收到了125个ARP包,可以判定这是一个ARP Flooding攻击。应对Floding攻击可以在全局启用针对源MAC地址和源IP地址的ARP报文限速和ARP Miss消息限速,并适当调大ARP临时表项的老化时间,以减少ARP Miss消息的触发量,减速轻CPU负担和网络带宽占用。
[Huawei]arp speed-limit source-mac maximum 30
[Huawei]arp speed-limit source-ip maximum 30
[Huawei]arp anti-attack rate-limit enable
[Huawei]arp-miss speed-limit source-ip maximum 30
[Huawei]arp-miss anti-attack rate-limit enable
[Huawei-xGigabitEthernet2/2/0/4]arp-fake expire-time 10
脚本化:
system
arp speed-limit source-mac maximum 30
arp speed-limit source-ip maximum 30
arp anti-attack rate-limit enable
arp-miss speed-limit source-ip maximum 30
arp-miss anti-attack rate-limit enable
interface xGigabitEthernet2/2/0/4
arp-fake expire-time 10
return
save
y


不知道设备型号和软件版本号,无法获取规格以及具体的攻击类型等更多信息,只能帮你到这里了。
执行以上命令后,因为ARP Flooding攻击的问题基本解决。ARP Flooding攻击是DoS攻击的一种,因为这个问题的用户断网也就解决了。
当然你肯定不满意了,因为你的网络肯定不仅仅这个问题,而且上面的解决也不彻底,最好的办法还是把攻击源找到,先拔Ta网线再说。
更多详细内容请查阅附件。更更多内容请关注我的其它帖子,如数通网络模型,数据在网络中的传输,NAT等,链接如下:
https://forum.huawei.com/enterprise/zh/thread-600480.html
https://forum.huawei.com/enterprise/zh/thread-600484.html
https://forum.huawei.com/enterprise/zh/thread-600206.html
  • x
  • 常规:

点评 回复

niuhai211
niuhai211  精英 发表于 2020-2-19 11:36:08 已赞(0) 赞(0)

不好意思,说好的附件不让传。有需要私信我,附件是ARP与相关技术在生产中的应用。
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录