攻击arp攻击

arp攻击  时间:2021-01-30  阅读:()

知以太网OAMSSH程飞2015-07-13发表S12500由于IP/ARP攻击导致下一跳资源不足案例现网S12500设备1框4号槽位单板下有很多用户反馈不能正常PING通网关,也不能通过三层访问其他网络业务.
诊断日志中有如下的打印:%@1493461564Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2e,P2:ffffffff,P3:11.
%@1493461565Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2f,P2:ffffffff,P3:11.
%@1493461564Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2e,P2:ffffffff,P3:11.
%@1493461565Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2f,P2:ffffffff,P3:11.
通过进一步查看诊断日志,发现在出现问题开始4号槽位单板打印类似如下信息,P1后面对应的是需要访问的IP地址(十六进制表示,如a8b1b3b转换成十进制为10.
139.
27.
59).
从信息中,也可以看到这些访问的地址是递增的.
当网络中存在连续的IP扫描或ARP攻击时才会出现地址递增的可能.

%@1493461564Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2e,P2:ffffffff,P3:11.
%@1493461565Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2f,P2:ffffffff,P3:11.
%@1493461566Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b30,P2:ffffffff,P3:11.
%@1493461567Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b31,P2:ffffffff,P3:11.
%@1493461568Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b32,P2:ffffffff,P3:11.
%@1493461569Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b33,P2:ffffffff,P3:11.
%@1493461570Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b34,P2:ffffffff,P3:11.
%@1493461571Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b35,P2:ffffffff,P3:11.
%@1493461572Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b36,P2:ffffffff,P3:11.
%@1493461573Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b37,P2:ffffffff,P3:11.
%@1493461574Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b38,P2:ffffffff,P3:11.
%@1493461575Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b39,P2:ffffffff,P3:11.
%@1493461576Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b3a,P2:ffffffff,P3:11.
%@1493461577Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b3b,P2:ffffffff,P3:11.
2.
软件实现上,当收到IP扫描或ARP攻击时,为了实现防攻击功能,会申请一个下一跳资源,如果此时IP扫描过多会导致下一跳资源占用过多,甚至出现资源不足的情况,影响正常用户的上网.

3.
从目前的正常情况下,下一跳资源占用也是在一个比较高的数量上,而其中大部分为ARP占用的:Ipv4routeprefix:27332Ipv6routeprefix:15Allocatedrouteentry:9195Ipv4Ucallocatednexthop:905518010000000Ipv6Ucallocatednexthop:014000100000Ipv4Mcallocatednexthop:3Ipv6Mcallocatednexthop:0Tunnelallocatednexthop:0Ipv4Vnallocatednexthop:250000000000Maxsupportvrf:1024Maxsupportipv4prefix:262144Maxsupportipv6prefix:65536Maxsupportnexthop:13312即此时已经占用9195个下一跳,而此单板只支持13312个下一跳资源.
纵上所述,此问题是由于当时网络中存在IP扫描和ARP攻击导致下一跳资源被异常占用,引发正常用户无法访问网络的情况.
1.
可以在网络中部署ARP主动确认功能,以及关闭ARP黑洞路由功能,命令如下:undoarpresolving-routeenable关闭ARP黑洞路由后当收到IP扫描的报文时不再下发黑洞路由,减少下一跳资源占用,这可能会导致CPU比正常情况下高的情况,但硬件中可以通过CPU-CODE机制限速这类上送CPU的报文.

arpanti-attackactive-ackenable启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项,异常占用下一跳资源.
2.
可以在网络中部署源MAC地址固定的ARP攻击检测功能,命令入下:arpanti-attacksource-macfilter在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值(默认为150),则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中.
一些重要的设备,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该MAC地址存在攻击也不会被检测、过滤.

命令如下:arpanti-attacksource-macexclude-macmac-address&3.
把部分设备的网关下移,把网关分散到不同网络设备上.
如果网络中存在IP扫描和ARP攻击会导致下一跳资源被异常占用,引发正常用户无法访问网络的情况.
这个时候要根据日志信息,诊断信息,诊断文件以及现网情况共同分析.

展开全文

妮妮云(119元/季)日本CN2 2核2G 30M 119元/季

妮妮云的知名度应该也不用多介绍了,妮妮云旗下的云产品提供商,相比起他家其他的产品,云产品还是非常良心的,经常出了一些优惠活动,前段时间的八折活动推出了很多优质产品,近期商家秒杀活动又上线了,秒杀产品比较全面,除了ECS和轻量云,还有一些免费空间、增值代购、云数据库等,如果你是刚入行安稳做站的朋友,可以先入手一个119/元季付的ECS来起步,非常稳定。官网地址:www.niniyun.com活动专区...

Sharktech10Gbps带宽,不限制流量,自带5个IPv4,100G防御

Sharktech荷兰10G带宽的独立服务器月付319美元起,10Gbps共享带宽,不限制流量,自带5个IPv4,免费60Gbps的 DDoS防御,可加到100G防御。CPU内存HDD价格购买地址E3-1270v216G2T$319/月链接E3-1270v516G2T$329/月链接2*E5-2670v232G2T$389/月链接2*E5-2678v364G2T$409/月链接这里我们需要注意,默...

零途云:香港站群云服务器16IP220元/月,云服务器低至39元/月

零途云(Lingtuyun.com)新上了香港站群云服务器 – CN2精品线路,香港多ip站群云服务器16IP/5M带宽,4H4G仅220元/月,还有美国200g高防云服务器低至39元/月起。零途云是一家香港公司,主要产品香港cn2 gia线路、美国Cera线路云主机,美国CERA高防服务器,日本CN2直连服务器;同时提供香港多ip站群云服务器。即日起,购买香港/美国/日本云服务器享受9折优惠,新...

arp攻击为你推荐
ddr2内存价格台式电脑DDR2 内存 现在的价格。免费卡巴斯基杀毒软件十大终身免费杀毒软件?桌面背景图片淡雅为什么好看的图片用来做桌面背景图就会很模糊?录屏软件哪个好现在什么录屏软件好,不卡的,推荐一个,谢谢。手动挡和自动挡哪个好自动挡和手动挡哪个好?少儿英语哪个好少儿英语教材哪个好?尼康和佳能单反哪个好请问佳能和尼康的单反哪个好?海克斯皮肤哪个好LOL用100块是抽海克斯好还是抽蛮王的生化领主的活动还是直接买皮肤好红茶和绿茶哪个好红茶和绿茶哪个更好?网络机顶盒哪个好哪个品牌的网络机顶盒好用?
免费动态域名解析 linode webhosting cpanel 视频存储服务器 directadmin 密码泄露 512m内存 免费个人网站申请 java虚拟主机 促正网秒杀 数字域名 双拼域名 howfile 免费测手机号 web服务器安全 石家庄服务器托管 中国联通宽带测速 supercache 免费网络空间 更多
赞助商
套餐 俄罗斯 华纳 活动 美国 服务器 流量 德克萨斯州 菲律宾 马来西亚 域名 摩尔多瓦 亚洲 越南 安徽 邦联 韩国 带宽 迁移 罗马尼亚 港币 页面 沙田 电信 重启 解析 欧洲 宿迁 亚当 网络 东京 德阳 双核 日本 洛杉矶 新泽西 防御 内存 莫斯科 芝加哥 英国 测试 虚拟主机 雅安 免费版 数据库 主机 计费 拉斯维加斯 半价