问

RRPP组网，设备告警arp 攻击，如何排查

VLAN

2020-12-21提问

0关注
1收藏，2039浏览

zhiliao_bl2sS4

zhiliao_bl2sS4 二段

粉丝：0人关注：1人

问题描述：

%Mar 2 02:05:30:855 2013 FAB_1_2_GMS_SP43_SW01 SHELL/6/SHELL_CMD: -Line=vty0-IPAddr=192.168.2.5-User=admin; Command is dis logbuffer re | inc srcMAC at Stage=37, StageCnt=2755 TotalCnt=8083, Max Rate Interface=GE2/0/26 !! at Stage=45, StageCnt=7435 TotalCnt=15641, Max Rate Interface=GE1/0/26 !! at Stage=0, StageCnt=603 TotalCnt=5328, Max Rate Interface=GE2/0/26 !! at Stage=0, StageCnt=1417 TotalCnt=8206, Max Rate Interface=GE1/0/26 !! at Stage=0, StageCnt=1594 TotalCnt=4725, Max Rate Interface=GE2/0/26 !! at Stage=0, StageCnt=2088 TotalCnt=6789, Max Rate Interface=GE1/0/26 !! at Stage=0, StageCnt=734 TotalCnt=3131, Max Rate Interface=GE2/0/26 !! at Stage=0, StageCnt=1652 TotalCnt=4701, Max Rate Interface=GE1/0/26 !! at Stage=0, StageCnt=1596 TotalCnt=2397, Max Rate Interface=GE2/0/26 !! at Stage=0, StageCnt=1786 TotalCnt=3049, Max Rate Interface=GE1/0/26 !! at Stage=0, StageCnt=800 TotalCnt=801, Max Rate Interface=GE2/0/26 !! at Stage=0, StageCnt=1262 TotalCnt=1263, Max Rate Interface=GE1/0/26 !! at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE2/0/26 !! at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE1/0/26 !! at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE2/0/26 !! at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE1/0/26 !! at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE1/0/26 !! at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE2/0/26 !! at Stage=63, StageCnt=37134 TotalCnt=2522376, Max Rate Interface=GE1/0/26 !! at Stage=63, StageCnt=16354 TotalCnt=1172111, Max Rate Interface=GE2/0/26 !! at Stage=63, StageCnt=45475 TotalCnt=2485242, Max Rate Interface=GE1/0/26 !! at Stage=63, StageCnt=23770 TotalCnt=1155757, Max Rate Interface=GE2/0/26 !!

组网及组网描述：

最佳答案

bei

bei 九段

粉丝：23人关注：7人

https://www.h3c.com/cn/d_202001/1270116_30005_0.htm arp防攻击防御方法

访问不了。。。

zhiliao_bl2sS4 发表时间：2020-12-21

配置源MAC地址固定的ARP攻击检测功能 1.6.1 源MAC地址固定的ARP攻击检测功能简介本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计，在5秒内，如果收到同一源MAC地址（源MAC地址固定）的ARP报文超过一定的阈值，则认为存在攻击，系统会将此MAC地址添加到攻击检测表项中。当开启了ARP日志信息功能（配置arp source-mac log enable命令），且在该攻击检测表项老化之前，如果设置的检查模式为过滤模式，则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉，同时，还会将源/目的MAC地址为该MAC地址的数据报文也过滤掉；如果设置的检查模式为监控模式，则只打印日志信息，不会将该源MAC地址发送的ARP报文过滤掉。关于ARP日志信息功能的详细描述，请参见“三层技术-IP业务配置指导”中的“ARP”。切换源MAC地址固定的ARP攻击检查模式时，如果从监控模式切换到过滤模式，过滤模式马上生效；如果从过滤模式切换到监控模式，已生成的攻击检测表项，到表项老化前还会继续按照过滤模式处理。对于网关或一些重要的服务器，可能会发送大量ARP报文，为了使这些ARP报文不被过滤掉，可以将这类设备的MAC地址配置成保护MAC地址，这样，即使该设备存在攻击也不会被检测或过滤。 1.6.2 配置源MAC地址固定的ARP攻击检测功能表1-6 配置源MAC地址固定的ARP攻击检测功能配置步骤命令说明进入系统视图 system-view - 开启源MAC地址固定的ARP攻击检测功能，并选择检查模式 arp source-mac { filter | monitor } 缺省情况下，源MAC地址固定的ARP攻击检测功能处于关闭状态配置源MAC地址固定的ARP报文攻击检测的阈值 arp source-mac threshold threshold-value 缺省情况下，源MAC固定ARP报文攻击检测的阈值为30 配置源MAC地址固定的ARP攻击检测表项的老化时间 arp source-mac aging-time time 缺省情况下，源MAC地址固定的ARP攻击检测表项的老化时间为300秒，即5分钟（可选）配置保护MAC地址 arp source-mac exclude-mac mac-address&<1-10> 缺省情况下，未配置任何保护MAC地址开启源MAC地址固定的ARP攻击检测日志信息功能 arp source-mac log enable

bei 发表时间：2020-12-21