RRPP组网,设备告警arp 攻击,如何排查
- 0关注
- 1收藏,2349浏览
问题描述:
%Mar 2 02:05:30:855 2013 FAB_1_2_GMS_SP43_SW01 SHELL/6/SHELL_CMD: -Line=vty0-IPAddr=192.168.2.5-User=admin; Command is dis logbuffer re | inc srcMAC PktType= ARP , srcMAC=6ce5-f716-a68c, Drop From Interface=GE2/0/26 at Stage=37, StageCnt=2755 TotalCnt=8083, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-3ac3, Drop From Interface=GE1/0/26 at Stage=45, StageCnt=7435 TotalCnt=15641, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=6ce5-f716-a68c, Drop From Interface=GE2/0/25 at Stage=0, StageCnt=603 TotalCnt=5328, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-15eb, Drop From Interface=GE1/0/26 at Stage=0, StageCnt=1417 TotalCnt=8206, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=6ce5-f716-a68c, Drop From Interface=GE2/0/25 at Stage=0, StageCnt=1594 TotalCnt=4725, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-3ac3, Drop From Interface=GE1/0/26 at Stage=0, StageCnt=2088 TotalCnt=6789, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=6ce5-f716-a68c, Drop From Interface=GE2/0/25 at Stage=0, StageCnt=734 TotalCnt=3131, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-16c3, Drop From Interface=GE1/0/26 at Stage=0, StageCnt=1652 TotalCnt=4701, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=6ce5-f716-a68c, Drop From Interface=GE2/0/25 at Stage=0, StageCnt=1596 TotalCnt=2397, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-16c3, Drop From Interface=GE1/0/26 at Stage=0, StageCnt=1786 TotalCnt=3049, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=6ce5-f716-a68c, Drop From Interface=GE2/0/25 at Stage=0, StageCnt=800 TotalCnt=801, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-15eb, Drop From Interface=GE1/0/26 at Stage=0, StageCnt=1262 TotalCnt=1263, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=6ce5-f716-a68c, Drop From Interface=GE2/0/25 at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-15eb, Drop From Interface=GE1/0/26 at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=542b-dec1-f12c, Drop From Interface=GE2/0/26 at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-36d3, Drop From Interface=GE1/0/26 at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-16c3, Drop From Interface=GE1/0/26 at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=0868-8de9-6986, Drop From Interface=GE2/0/26 at Stage=0, StageCnt=1 TotalCnt=1, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-3a7b, Drop From Interface=GE1/0/26 at Stage=63, StageCnt=37134 TotalCnt=2522376, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=6ce5-f716-a68c, Drop From Interface=GE2/0/26 at Stage=63, StageCnt=16354 TotalCnt=1172111, Max Rate Interface=GE2/0/26 !! PktType= ARP , srcMAC=6ce5-f7ff-3be3, Drop From Interface=GE1/0/26 at Stage=63, StageCnt=45475 TotalCnt=2485242, Max Rate Interface=GE1/0/26 !! PktType= ARP , srcMAC=6ce5-f716-a68c, Drop From Interface=GE2/0/25 at Stage=63, StageCnt=23770 TotalCnt=1155757, Max Rate Interface=GE2/0/26 !!
组网及组网描述:
- 2020-12-21提问
- 举报
-
(0)
最佳答案
https://www.h3c.com/cn/d_202001/1270116_30005_0.htm arp防攻击防御方法
- 2020-12-21回答
- 评论(2)
- 举报
-
(0)
访问不了。。。
配置源MAC地址固定的ARP攻击检测功能 1.6.1 源MAC地址固定的ARP攻击检测功能简介 本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。当开启了ARP日志信息功能(配置arp source-mac log enable命令),且在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉,同时,还会将源/目的MAC地址为该MAC地址的数据报文也过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。关于ARP日志信息功能的详细描述,请参见“三层技术-IP业务配置指导”中的“ARP”。 切换源MAC地址固定的ARP攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。 对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测或过滤。 1.6.2 配置源MAC地址固定的ARP攻击检测功能 表1-6 配置源MAC地址固定的ARP攻击检测功能 配置步骤 命令 说明 进入系统视图 system-view - 开启源MAC地址固定的ARP攻击检测功能,并选择检查模式 arp source-mac { filter | monitor } 缺省情况下,源MAC地址固定的ARP攻击检测功能处于关闭状态 配置源MAC地址固定的ARP报文攻击检测的阈值 arp source-mac threshold threshold-value 缺省情况下,源MAC固定ARP报文攻击检测的阈值为30 配置源MAC地址固定的ARP攻击检测表项的老化时间 arp source-mac aging-time time 缺省情况下,源MAC地址固定的ARP攻击检测表项的老化时间为300秒,即5分钟 (可选)配置保护MAC地址 arp source-mac exclude-mac mac-address&<1-10> 缺省情况下,未配置任何保护MAC地址 开启源MAC地址固定的ARP攻击检测日志信息功能 arp source-mac log enable
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
配置源MAC地址固定的ARP攻击检测功能 1.6.1 源MAC地址固定的ARP攻击检测功能简介 本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。当开启了ARP日志信息功能(配置arp source-mac log enable命令),且在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉,同时,还会将源/目的MAC地址为该MAC地址的数据报文也过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。关于ARP日志信息功能的详细描述,请参见“三层技术-IP业务配置指导”中的“ARP”。 切换源MAC地址固定的ARP攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。 对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测或过滤。 1.6.2 配置源MAC地址固定的ARP攻击检测功能 表1-6 配置源MAC地址固定的ARP攻击检测功能 配置步骤 命令 说明 进入系统视图 system-view - 开启源MAC地址固定的ARP攻击检测功能,并选择检查模式 arp source-mac { filter | monitor } 缺省情况下,源MAC地址固定的ARP攻击检测功能处于关闭状态 配置源MAC地址固定的ARP报文攻击检测的阈值 arp source-mac threshold threshold-value 缺省情况下,源MAC固定ARP报文攻击检测的阈值为30 配置源MAC地址固定的ARP攻击检测表项的老化时间 arp source-mac aging-time time 缺省情况下,源MAC地址固定的ARP攻击检测表项的老化时间为300秒,即5分钟 (可选)配置保护MAC地址 arp source-mac exclude-mac mac-address&<1-10> 缺省情况下,未配置任何保护MAC地址 开启源MAC地址固定的ARP攻击检测日志信息功能 arp source-mac log enable