华为交换机如何识别arp攻击

2017-03-03

相关话题

局域网中经常会发生ARP攻击,整个网络拥塞、缓慢、怨言四起,作为网络管理员你除了重启之外还需要识别ARP攻击,下面是小编给大家整理的一些有关华为交换机识别arp攻击的方法,希望对大家有帮助!

华为交换机识别arp攻击的方法

1、 网络主机侧攻击识别

1.1 Windows系统

如遇到主机不能与网关正常通信时,则在DOS界面下,输入arp –a命令,查看本主机的ARP缓存表:

C:Documents and Settingsp94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic

核对ARP缓存表中,网关的MAC地址是否与实际网关MAC一致。如不一致,说明受到ARP欺骗攻击,攻击主机的MAC地址即为00-00-00-00-00-01。有时,在查看ARP表时会发现有相同MAC对应多个IP的情况,此现象一般也是网络中存在ARP攻击所致:

C:Documents and Settingsp94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic192.168.16.2 00-00-00-00-00-02dynamic192.168.16.3 00-00-00-00-00-02 dynamic192.168.16.4 00-00-00-00-00-02 dynamic

1.2 UNIX系统

同理,网络不通时查看主机的ARP缓存

2、 网关设备侧攻击识别

如发现网关设备(通常都为三层交换机)下挂的主机存在ping网关不通,无法访问外网的情况,则可通过以下步骤来判断是否受到ARP攻击:

2.1 查看设备日志

<S3528>display logbuffer

Logging Buffer Configuration and contents:enabled

allowed max buffer size : 1024

actual buffer size : 256

channel number : 4 , channel name : logbuffer

dropped messages : 0

overwrote messages : 13003

current messages : 256

%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

llision detected, sourced by 00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

48-573b on Ethernet0/10 of VLAN10

//ARP冲突告警:检测到IP地址10.254.200.169冲突,引起冲突的MAC地址为00b0-d0d1-5668

(从Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)

%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

llision detected, sourced by 0030-6e48-573b on Ethernet0/10 of VLAN10 and 00b0-d

0d1-5668on Ethernet0/8 of VLAN10

//ARP冲突告警:检测到IP地址10.254.200.169冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从

Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)

%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

llision detected, sourced by00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

48-573b on Ethernet0/10 of VLAN10

//ARP冲突告警:检测到IP地址10.254.200.169冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从

Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)

%May 4 11:54:56 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.170 co

llision detected, sourced by 0030-6e48-47d3 on Ethernet0/8 of VLAN10 and 00b0-d0

d1-5668on Ethernet0/8 of VLAN10

//ARP冲突告警:检测到IP地址10.254.200.170冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从

Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)

查看日志发现有大量密集的IP地址冲突告警,发生冲突的IP可能在变化(如10.254.200.169

与10.254.200.170),但是发生冲突的某个MAC地址(00b0-d0d1-5668)始终不变,则可判

定存在ARP攻击,须查出攻击主机(mac:00b0-d0d1-5668)加以处理。

2.2 查看设备的ARP表

<S8508>display arp

Type: S-Static D-Dynamic

IP Address MAC Address VLAN ID Port Name Aging Type

10.175.2.161 0011-253e-5bee100 Ethernet0/1/51 D

10.175.2.165 0011-253e-5bee100 Ethernet0/1/5 2 D

10.175.2.166 0011-253e-5bee100 Ethernet0/1/5 2 D

10.175.2.167 0011-253e-5bee100 Ethernet0/1/5 2 D

10.175.2.168 0011-253e-5bee100 Ethernet0/1/5 3 D

10.175.2.169 0011-253e-5bee100 Ethernet0/1/5 3 D

10.175.2.170 0011-253e-5bee 100 Ethernet0/1/5 3 D

10.175.2.176 0011-253e-5bee100 Ethernet0/1/5 5 D

10.175.2.177 0011-253e-5bee100 Ethernet0/1/5 5 D

10.175.2.181 0011-253e-5bee 100 Ethernet0/1/5 7 D

10.175.2.254 0011-253e-5bee100 Ethernet0/1/5 8 D

10.175.2.5 0011-253e-5bee100 Ethernet0/1/5 9 D

10.175.2.6 0011-253e-5bee 100 Ethernet0/1/5 9 D

10.175.2.11 0011-253e-5bee100 Ethernet0/1/5 10 D

10.175.2.12 0011-253e-5bee100 Ethernet0/1/5 10 D

10.175.2.120 0011-110c-43dc 100 Ethernet0/1/1 10 D

10.175.2.17 0011-253e-5bee100 Ethernet0/1/5 11 D

10.175.2.15 0030-6e06-311e 100 Ethernet1/1/24 11 D

10.175.2.18 0011-253e-5bee 100 Ethernet0/1/5 11 D

10.175.2.19 0011-253e-5bee100 Ethernet0/1/5 11 D

10.175.2.95 0040-0515-0b7b 100 Ethernet0/1/1 11 D

10.175.2.88 00d0-c958-6395 100 Ethernet1/1/47 13 D

10.175.2.84 00d0-c958-6455 100 Ethernet0/1/32 14 D

…………

如果发现存在多个IP(一般这些IP都同属一个网段)对应一个MAC、且对应的交换机端口为下行端口的现象,也可判定网络中存在ARP攻击,需查找出攻击主机(mac:0011-253e-5bee)做相应处理。

2.3 在S6500上查看ARP攻击

进入隐含模式

[6505B]en

[6505B-testdiag]catch rxtx by sa slot 0 // 打开开关统计上送CPU的报文

Slot 0: information of Module RxTx

[6505B-testdiag]catch rxtx end slot 0 //间隔10s后再敲以下命令关闭并显示结果

Slot 0: information of Module RxTx

The Catch Result of SA is :

e02101177a -------- 738

46148b0c9 -------- 212

e04c9925c6 -------- 392

1617b4294d -------- 76

e019094b15 -------- 9

1422c3261 -------- 820

a0c9ef9ba1 -------- 1152

c76a028f0 -------- 89

4619a4162 -------- 1190

461451295 -------- 853

1a4d664c2b -------- 423

16ec6c792 -------- 702

e04c4a6421 -------- 27

aeb534b32 -------- 138

00e0a004dd95 -------- 759

此方法可快速定位arp攻击主机,10s内上送CPU报文个数超过1000的mac都比较异常,应将此类mac对应的主机查找出来加以处理。

2.4 查找攻击主机

首先在网关交换机上查找攻击主机的MAC地址:

<S3528>display mac 00b0-d0d1-5668

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

00b0-d0d1-566810 Learned Ethernet0/8 230

判断该mac地址是从Ethernet0/8端口学习到的,如果该端口是直接接主机的,则其下挂主机就是攻击主机;如果Ethernet0/8端口下还级联了交换机,则登陆下层交换机继续查找,直至找到该主机为止:

<nS2016> display mac 00b0-d0d1-5668

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

00b0-d0d1-566810 Learned Ethernet0/13 200

END

更多相关阅读

最新发布的文章