第1个回答 2017-08-06
如何判断交换机是否受到ARP攻击以及处理方式
一、如果网络受到了ARP攻击,可能会出现如下现象:
1、用户掉线、频繁断网、上网慢、业务中断或无法上网。
2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。
3、Ping有时延、丢包或不通。
定位ARP攻击时,请先排除链路、环路或路由问题,排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。
1、在网关上执行命令display cpu-defend statistics all,查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。
如果计数为0,设备没有丢弃ARP报文。
如果有计数,表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。
如果是ARP Miss报文丢弃很多,设备很可能受到了ARP Miss攻击。
如果是ARP Request或ARP Reply报文丢弃很多,设备很可能受到了ARP Request或ARP Reply报文攻击。
2、在网关上执行命令display arp all,查看用户的ARP表项是否存在。
如果ARP表项还在,请再查看用户的ARP表项,然后确定是否有用户或网关的ARP表项被改变。
如果是网关上用户ARP表项被改变,设备受到了ARP欺骗网关攻击。
在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。
建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。
3、系统视图下执行命令arp static,配置静态ARP表项。
如果下挂用户较少,可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。
4、系统视图或接口视图下执行命令arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable,配置ARP表项固化功能。
fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。
fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。
send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。
第2个回答 2017-10-13
1、看下交换机的指示灯是不是狂闪
2、有可能是交换机接成了环路,也会导致频繁断网(检查下A交换机和B交换机之间的网线连接情况,A的网线接在B上,然后B的网线接在A上,会出现环路)
3、抓包工具wireshark ,可以看到所有信息都向某一个(或几个)固定IP发送信息,这几个固定IP的主机就有可能中了ARP病毒
4、排除环路影响,再判断是否是受到ARP攻击
5、处理方式比较麻烦,一个一个交换机试,将所有交换机的网线从核心交换机上拔掉,然后一台一台插上去,那一台交换机插上出现问题,就是这个交换机的问题,然后将这个出现问题的交换机上的网线全部拔掉,一个一个查,那个网线插上后出现问题,就是那个网线对应的电脑的故障(不知道我说明白了没有)
6、如果实在不知道怎么处理,找你们的网络管理员来处理吧