交換機産品S9300作(zuò)為網關局域網內(nèi)用戶時(shí)通(tōng)時(shí)斷
2014/10/1 21:25:36點擊:
問題描述
交換機産品S9300作(zuò)為網關,局域網內(nèi)用戶時(shí)通(tōng)時(shí)斷,網絡設備會(huì)經常脫管,網關設備會(huì)打印大(dà)量地址沖突的告警。
告警信息
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
處理(lǐ)過程
對用戶PC殺毒,網關開(kāi)啓防假冒網關攻擊功能。
在S9300上(shàng)配置防網關沖突功能arp anti-attack gateway-duplicate enable,ARP網關沖突防攻擊功能使能後,系統生(shēng)成ARP防攻擊表項,在後續一段時(shí)間(jiān)內(nèi)對收到具有(yǒu)相同源MAC地址的報文直接丢棄,這樣可(kě)以防止與網關地址沖突的ARP報文在VLAN內(nèi)廣播。
在S9300上(shàng)配置防網關沖突功能arp anti-attack gateway-duplicate enable,ARP網關沖突防攻擊功能使能後,系統生(shēng)成ARP防攻擊表項,在後續一段時(shí)間(jiān)內(nèi)對收到具有(yǒu)相同源MAC地址的報文直接丢棄,這樣可(kě)以防止與網關地址沖突的ARP報文在VLAN內(nèi)廣播。
根因
1、查看日志(zhì)信息:display logbuffer
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根據日志(zhì)信息記錄的攻擊者的MAC地址查找MAC地址表,從而獲取到攻擊源所在的端口,通(tōng)過網絡進一步排查,定位出攻擊源,為PC中毒所緻。PC假冒網關向同網段設備請(qǐng)求IP。
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根據日志(zhì)信息記錄的攻擊者的MAC地址查找MAC地址表,從而獲取到攻擊源所在的端口,通(tōng)過網絡進一步排查,定位出攻擊源,為PC中毒所緻。PC假冒網關向同網段設備請(qǐng)求IP。
建議與總結
攻擊者設置主機靜态IP地址時(shí),把主機地址設置成網關地址。在主機設置靜态IP地址後,會(huì)發送免費ARP報文在局域網內(nèi)進行(xíng)通(tōng)告,該局域網內(nèi)其他PC機收到此報文後,會(huì)修改自身的網關ARP表項,修改網關MAC為攻擊者MAC,導緻該局域網內(nèi)所有(yǒu)用戶無法正常使用網絡,網絡中斷。當攻擊者頻繁發送源IP地址為網關地址的免費ARP報文,即使網關設備收到此報文能夠通(tōng)知局域網內(nèi)正常主機把網關搶回,但(dàn)是主機網關MAC地址頻繁切換也會(huì)導緻網絡中斷。
- 上(shàng)一篇:S7700交換機光口與其它廠家(jiā)交換機對接無法up 2014/10/1
- 下一篇:如何查看收發光功率? 2014/10/1