• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

5500V2 ARP

2025-05-08提问
  • 0关注
  • 0收藏,415浏览
粉丝:0人 关注:0人

问题描述:

*May  8 10:56:42:461 2025 S5500V2_CORE ARP/7/ARP_ERROR: 

Packet discarded for ARP packet is not necessary to concerned.Interface: Vlan120  sender IP: 172.17.25.30  target IP : 172.17.25.29

 

*May  8 10:56:42:494 2025 S5500V2_CORE ARP/7/ARP_ERROR: 

Packet discarded for ARP packet is not necessary to concerned.Interface: Vlan120  sender IP: 172.17.100.31  target IP : 172.17.100.33

 

*May  8 10:56:42:540 2025 S5500V2_CORE ARP/7/ARP_ERROR: 

Packet discarded for ARP packet is not necessary to concerned.Interface: Vlan120  sender IP: 172.17.120.92  target IP : 172.17.120.119

 

*May  8 10:56:42:579 2025 S5500V2_CORE ARP/7/ARP_ERROR: 

Packet discarded for ARP packet is not necessary to concerned.Interface: Vlan120  sender IP: 172.17.100.86  target IP : 172.17.100.142

 

*May  8 10:56:42:584 2025 S5500V2_CORE ARP/7/ARP_ERROR: 

Packet discarded for ARP packet is not necessary to concerned.Interface: Vlan120  sender IP: 172.17.70.242  target IP : 172.17.70.93

 

组网及组网描述:

交换机debug arp error
一直报这个错,是否有攻击?

最佳答案

粉丝:32人 关注:1人

升级版本看一下

问题很明显,MSR上会删除终端IParp表项,当arp表项不存在时自然也就无法发送目的IP是终端IPicmp-reply数据包了,那么为什么MSR会删除该IP地址的arp表项呢?为了进一步解决问题,我们在设备上debug arp packetdebug arp error进行进一步查看,在查看debug信息时发现了异常:

Packet discarded for ARP packet is not necessary to concerned. Interface: GE0/0  sender IP: 12.1.1.9  target IP : 12.1.1.1, VSI Index : 0, Link ID : 0

debug信息中存在大量该报错,其中sender IP 12.1.1.9就是终端的IP地址,再出现大量该debug信息之后,MSR就删除了终端的arp表项,同时还存在另外一条debug信息也频繁出现:

*Jan  1 19:59:26:381 2011 H3C ARP/7/ARP_RCV: Received an ARP message, operation: 1, sender MAC: 0021-ccc7-e8f4, sender IP: 12.1.1.9, target MAC: 3897-d637-cdc0target IP: 12.1.1.1

可以看到operation 1arp报文,其中的target MAC值并不是全0,这个并不正常,在这里了解arp报文的格式:

其中op字段即为operation字段,2个字节,4个值:

0x0001:ARP 请求

0x0002:ARP 回复

0x0003:RARP 请求

0x0004: RARP 回应operation1代表为arp请求报文,此时目的以太网地址应该为全0,目的IP地址为所请求的IP地址,那么目的以太网地址不为0的情况存在不存在呢?存在,免费arpsender-mactarget-mac都一样,sender-iptarget-ip也一致,但是很明显debug信息中的并不是免费arparp 请求中target-mac已经存在确实不正常。为了进一步确认debug信息中的报错:Packet discarded for ARP packet到底是什么报文导致的MSR删除arp表项,我们抓包进行了查看:

Target mac为具体的mac地址,而不是全0。终端发送了连续几个不正常的arp-request报文,之后发送了一个正常的arp-request报文(图中最后一个报文可以看到数据帧以太网头部目的mac为全fbroadcast)。问题到现在已经很清楚了,终端发送不正常的arp报文,MSR再收到多个之后删除了arp表项,此时MSR无法发送报文到终端,之后终端发送了正常的arp报文,MSR重新学习arp,此时通信恢复正常。

本地使用MSR测试时发现用户的异常报文并不会导致设备删除arp表项,客户的MSR版本较老,升级到最新版本之后客户的MSR收到异常arp不会删除arp表项,但根本原因还是客户的终端发送的arp报文异常导致。


那这是设备问题还是终端发送arp的问题?

zhiliao_tJceL3 发表时间:2025-05-08 更多>>

那这是设备问题还是终端发送arp的问题?

zhiliao_tJceL3 发表时间:2025-05-08
1 个回答
粉丝:120人 关注:9人

交换机开启uRPF可以防止此类攻击

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明