华为路由交换查arp攻击源的方法

常用命令：1.执行display cpu-usage命令，查看交换机CPU占用率，发现CPU占用率在80%以上，并且查看CPU占用率较高的任务,查找占用率高。

常用命令：2.使用display cpu-defend statistics命令查看上送CPU报文的统计信息，判断是否存在过多各种协议报文。

常用命令：3.执行reset cpu-defend statistics命令，清除上送CPU报文的统计信息。

常用命令：4.执行display cpu-defend statistics packet-type igmp all命令，查看上送CPU的IGMP报文统计信息。

常用命令：5、执行display auto-defend attack-source和display auto-defend attack-source slot slot-id命令，查看主控板和接口板的攻击源信息

在Switch_1上执行以下操作：

步骤 1查看设备CPU占用率，判断CPU占用率较高。
dis cpu-usage

发现CPU占用率达到82%。

步骤 2查看存在临时ARP表项，初步判断设备的ARP表项学习存在问题
dis arp

发现有两条ARP表项的“MAC ADDRESS”字段为“Incomplete”即为临时表项，表示有ARP表项学习不到。

步骤 3判断设备正遭受ARP攻击。

1.由于有未学习到的ARP表项，查看上送CPU的ARP-Request报文统计信息。
dis cpu-defend arp-request statistics all

发现交换机的4号单板上存在大量ARP-Request报文丢包。

2.配置攻击溯源识别攻击源。
system-view
cpu-defend policy policy1
auto-defend enable
auto-defend attack-packet sample 5 /每5个报文抽样看一回，抽样值过小会消耗过多cpu资源
auto-defend threshold 30 /报文达30pps时就被当作是攻击，若攻击源较多可调低这个值
undo auto-defend trace-type source-ip source-portvlan /基于源mac进行源攻击源识别。
undo auto-defend protocol 8021x dhcp icmp igmp tcp telnet ttl-expired udp /针对arp攻击进行识别
quit
cpu-defend-policy policy1
cpu-defend-policy policy1 global

3、查看攻击源信息:
dis auto-defend attack-source

发现攻击源的MAC地址为0000-0000-00db，位于GigabitEthernet2/0/22端口。

如果该MAC有对应ARP，还可以执行命令display arp | include 0000-0000-00db查询对应的IP。