2024年3月27日发(作者:)

ARP攻击的处理:

1 故障现象

网管段设备ping不通交换机下挂的设备,但登陆交换机可ping通下挂设备,查看cpu

利用率 ,达到50%以上(正常情况下低于20%),再查看交换机端口状态,存在有端口in

方向流量远远高于out方向流量,且以广播包为主,可能该端口下有设备中毒而对交换机

进行arp攻击。

2 故障处理

2.1 应急处理

应急处理:交换机进入该端口,输入broadcast-suppression 1,

broadcast-suppression命令用来在接口下设置广播风暴抑制比,输入命令后,抑制比为

1%。

2.2抓包处理

1、 抓包确定攻击源。

进入隐含模式:

[DCN_GuoDa_S3528_1]_

检查CPU是否有丢包:

[DCN_GuoDa_S3528_1-hidecmd ] ip showvar

Run mode 3 gDrvRtListHead 17fac58 g_ulDrvRtNum 1973 g_ulDefaultRtID 0

g_pstCurRef 2764188 g_pstArpShadowHead 1a3d1e4 g_pstArpHead 1a45564

g_ulARPNum 80 g_ulRtID 291 g_ulCurID 223 g_pusArpIndexMng 3af6c7c

g_usArpIndexStackTop 80 g_ulNextHopNum 4096 g_ulDropID 16 g_ulTrapID

17

g_bNSFull 0 g_uc_HashLen 8 g_ulTrapID_2 18 g_ulCoreAPIErrCounter 227419

g_ulMulticastErr 0

ulQueueTotallimit 300, 200, 300, 300, 300, 300, 300, 300

ulQueueTotalCounters 0, 8, 12, 95, 0, 2, 0, 1 //共8个队列,有计数标识某个队列