遇到ARP泛洪攻击,怎么破?

攻击简介
如下图所示 , 局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet 。 当网络中出现过多的ARP报文时 , 会导致网关设备CPU负载加重 , 影响设备正常处理用户的其它业务 。 另一方面 , 网络中过多的ARP报文会占用大量的网络带宽 , 引起网络堵塞 , 从而影响整个网络通信的正常运行 。
遇到ARP泛洪攻击,怎么破?
文章图片
现象描述
网络设备CPU占有率较高 , 正常用户不能学习ARP甚至无法上网 。
Ping不通 。
网络设备不能管理 。 定位思路定位手段命令行适用版本形态查看ARP临时表项displayarpV100R006C05版本以及之后版本查看arp-request的CPCAR计数displaycpu-defendstatisticspacket-typearp-requestallV100R006C05版本以及之后版本查看攻击溯源结果displayauto-defendattack-source[slotslot-id]V200R003版本以及之后版本
步骤1执行命令displayarp查看受影响用户的ARP是否学习不到 。
如果MACADDRESS字段显示为Incomplete , 表示有ARP学习不到 , 有可能设备遭受ARP攻击 。
遇到ARP泛洪攻击,怎么破?
文章图片
步骤2由于有未学习到的ARP表项 , 执行命令displaycpu-defendstatisticspacket-typearp-requestall查看上送CPU的ARP-Request报文统计信息 , 判断设备是否遭受攻击 , 下述回显发现4号单板上存在大量ARP-Request报文丢包 。
遇到ARP泛洪攻击,怎么破?
文章图片
?
说明:该命令可以查看多次 , 比如1秒执行一次 , 查看多次执行的结果 。 如上显示 , 如果Drop(Packets)计数增加很快 , 比如1秒钟Drop上百个 , 这说明设备正在遭受ARP攻击 , 上送的ARP报文已经超过了设备配置的CPCAR范围 , 攻击ARP报文可能已经挤掉了正常ARP报文 , 则部分ARP可能学习不到 。 步骤3确认攻击源 , 通过攻击溯源功能识别攻击源 。
首先在系统视图下配置防攻击策略:
[HUAWEI]cpu-defendpolicypolicy1
[HUAWEI-cpu-defend-policy-policy1]auto-defendenable
[HUAWEI-cpu-defend-policy-policy1]auto-defendattack-packetsample5
[HUAWEI-cpu-defend-policy-policy1]auto-defendthreshold30???
[HUAWEI-cpu-defend-policy-policy1]undoauto-defendtrace-typesource-portvlan??//
auto-defendenable后 , 缺省情况下溯源类型为source-mac、source-ip和source-portvlan , source-portvlan粒度太大 , 所以去使能source-portvlan
[HUAWEI-cpu-defend-policy-policy1]undoauto-defendprotocoldhcpicmpigmptcptelnetttl-expiredudp//auto-defendenable后 , 缺省情况下攻击溯源的协议类比较多 , 这里只保留arp报文攻击溯源 , 如果有其它协议也需要攻击溯源 , 则不要undo掉
接下来应用防攻击策略policy1
最后通过命令displayauto-defendattack-sourceslot4查看攻击源的MAC地址 。 ?问题根因
1.由于终端中毒频繁发送大量ARP报文 。
2.下挂网络成环产生大量的ARP报文 。 处理步骤步骤1在接口下配置ARP表项限制 。
设备支持接口下的ARP表项限制 , 如果接口已经学习到的ARP表项数目超过限制值 , 系统不再学习新的ARP表项 , 但不会清除已经学习到的ARP表项 , 会提示用户删除超出的ARP表项 。
配置命令如下:
system-view
[HUAWEI]interfacegigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1]arp-limitvlan10maximum20
步骤2配置针对源IP地址的ARP报文速率抑制的功能 。
在一段时间内 , 如果设备收到某一源IP地址的ARP报文数目超过设定阈值 , 则不处理超出阈值部分的ARP请求报文 。
system-view
[HUAWEI]arpspeed-limitsource-ip10.0.0.1maximum50?
说明:缺省情况下 , 对ARP报文进行时间戳抑制的抑制速率为5pps , 即每秒处理5个ARP报文 。 步骤3根据排查出的攻击源MAC配置黑名单过滤掉攻击源发出的ARP报文 。 [HUAWEI]acl4444