华为路由交换查arp攻击源的方法
常用命令:1.执行display cpu-usage命令,查看交换机CPU占用率,发现CPU占用率在80%以上,并且查看CPU占用率较高的任务,查找占用率高。常用命令:2.使用display cpu-defend statistics命令查看上送CPU报文的统计信息,判断是否存在过多各种协议报文。常用命令:3.执行reset cpu-defend statistics命令,清除上送CPU报文的统计
常用命令:1.执行display cpu-usage命令,查看交换机CPU占用率,发现CPU占用率在80%以上,并且查看CPU占用率较高的任务,查找占用率高。
常用命令:2.使用display cpu-defend statistics命令查看上送CPU报文的统计信息,判断是否存在过多各种协议报文。
常用命令:3.执行reset cpu-defend statistics命令,清除上送CPU报文的统计信息。
常用命令:4.执行display cpu-defend statistics packet-type igmp all命令,查看上送CPU的IGMP报文统计信息。
常用命令:5、执行display auto-defend attack-source和display auto-defend attack-source slot slot-id命令,查看主控板和接口板的攻击源信息
arp攻击的问题判断方法
在Switch_1上执行以下操作:
步骤 1查看设备CPU占用率,判断CPU占用率较高。
dis cpu-usage
发现CPU占用率达到82%。
步骤 2查看存在临时ARP表项,初步判断设备的ARP表项学习存在问题
dis arp
发现有两条ARP表项的“MAC ADDRESS”字段为“Incomplete”即为临时表项,表示有ARP表项学习不到。
步骤 3判断设备正遭受ARP攻击。
1.由于有未学习到的ARP表项,查看上送CPU的ARP-Request报文统计信息。
dis cpu-defend arp-request statistics all
发现交换机的4号单板上存在大量ARP-Request报文丢包。
2.配置攻击溯源识别攻击源。
system-view
cpu-defend policy policy1
auto-defend enable
auto-defend attack-packet sample 5 /每5个报文抽样看一回,抽样值过小会消耗过多cpu资源
auto-defend threshold 30 /报文达30pps时就被当作是攻击,若攻击源较多可调低这个值
undo auto-defend trace-type source-ip source-portvlan /基于源mac进行源攻击源识别。
undo auto-defend protocol 8021x dhcp icmp igmp tcp telnet ttl-expired udp /针对arp攻击进行识别
quit
cpu-defend-policy policy1
cpu-defend-policy policy1 global
3、查看攻击源信息:
dis auto-defend attack-source
发现攻击源的MAC地址为0000-0000-00db,位于GigabitEthernet2/0/22端口。
如果该MAC有对应ARP,还可以执行命令display arp | include 0000-0000-00db查询对应的IP。
更多推荐
所有评论(0)