电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 278|回复: 0

华为路由交换查arp攻击源的方法

[复制链接]
admin 发表于 2024-6-20 14:11:10 | 显示全部楼层 |阅读模式

常用命令:1.执行display cpu-usage命令,查看交换机CPU占用率,发现CPU占用率在80%以上,并且查看CPU占用率较高的任务,查找占用率高。

常用命令:2.使用display cpu-defend statistics命令查看上送CPU报文的统计信息,判断是否存在过多各种协议报文。

常用命令:3.执行reset cpu-defend statistics命令,清除上送CPU报文的统计信息。

常用命令:4.执行display cpu-defend statistics packet-type igmp all命令,查看上送CPU的IGMP报文统计信息。

常用命令:5、执行display auto-defend attack-source和display auto-defend attack-source slot slot-id命令,查看主控板和接口板的攻击源信息


在Switch_1上执行以下操作:

步骤 1查看设备CPU占用率,判断CPU占用率较高。
dis cpu-usage

发现CPU占用率达到82%。

步骤 2查看存在临时ARP表项,初步判断设备的ARP表项学习存在问题
dis arp

发现有两条ARP表项的“MAC ADDRESS”字段为“Incomplete”即为临时表项,表示有ARP表项学习不到。

步骤 3判断设备正遭受ARP攻击。

1.由于有未学习到的ARP表项,查看上送CPU的ARP-Request报文统计信息。
dis cpu-defend arp-request statistics all

发现交换机的4号单板上存在大量ARP-Request报文丢包

2.配置攻击溯源识别攻击源。
system-view
cpu-defend policy policy1
auto-defend enable
auto-defend attack-packet sample 5 /每5个报文抽样看一回,抽样值过小会消耗过多cpu资源
auto-defend threshold 30 /报文达30pps时就被当作是攻击,若攻击源较多可调低这个值
undo auto-defend trace-type source-ip source-portvlan /基于源mac进行源攻击源识别。
undo auto-defend protocol 8021x dhcp icmp igmp tcp telnet ttl-expired udp /针对arp攻击进行识别
quit
cpu-defend-policy policy1
cpu-defend-policy policy1 global

3、查看攻击源信息:
dis auto-defend attack-source

发现攻击源的MAC地址为0000-0000-00db,位于GigabitEthernet2/0/22端口。

如果该MAC有对应ARP,还可以执行命令display arp | include 0000-0000-00db查询对应的IP。


您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-12-27 10:20 , Processed in 0.093035 second(s), 21 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表