华为交换机如何识别arp攻击
华为交换机如何识别arp攻击
局域网中经常会发生ARP攻击,整个网络拥塞、缓慢、怨言四起,作为网络管理员你除了重启之外还需要识别ARP攻击,下面是学习啦小编给大家整理的一些有关华为交换机识别arp攻击的方法,希望对大家有帮助!
华为交换机识别arp攻击的方法
学习啦在线学习网 1、 网络主机侧攻击识别
1.1 Windows系统
如遇到主机不能与网关正常通信时,则在DOS界面下,输入arp –a命令,查看本主机的ARP缓存表:
学习啦在线学习网 C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic
核对ARP缓存表中,网关的MAC地址是否与实际网关MAC一致。如不一致,说明受到ARP欺骗攻击,攻击主机的MAC地址即为00-00-00-00-00-01。有时,在查看ARP表时会发现有相同MAC对应多个IP的情况,此现象一般也是网络中存在ARP攻击所致:
C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic192.168.16.2 00-00-00-00-00-02dynamic192.168.16.3 00-00-00-00-00-02 dynamic192.168.16.4 00-00-00-00-00-02 dynamic
1.2 UNIX系统
同理,网络不通时查看主机的ARP缓存
2、 网关设备侧攻击识别
如发现网关设备(通常都为三层交换机)下挂的主机存在ping网关不通,无法访问外网的情况,则可通过以下步骤来判断是否受到ARP攻击:
学习啦在线学习网 2.1 查看设备日志
<S3528>display logbuffer
学习啦在线学习网 Logging Buffer Configuration and contents:enabled
allowed max buffer size : 1024
学习啦在线学习网 actual buffer size : 256
channel number : 4 , channel name : logbuffer
学习啦在线学习网 dropped messages : 0
overwrote messages : 13003
current messages : 256
%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co
学习啦在线学习网 llision detected, sourced by 00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e
48-573b on Ethernet0/10 of VLAN10
//ARP冲突告警:检测到IP地址10.254.200.169冲突,引起冲突的MAC地址为00b0-d0d1-5668
(从Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)
学习啦在线学习网 %May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co
llision detected, sourced by 0030-6e48-573b on Ethernet0/10 of VLAN10 and 00b0-d
0d1-5668on Ethernet0/8 of VLAN10
//ARP冲突告警:检测到IP地址10.254.200.169冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从
Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)
%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co
llision detected, sourced by00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e
学习啦在线学习网 48-573b on Ethernet0/10 of VLAN10
//ARP冲突告警:检测到IP地址10.254.200.169冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从
Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)
%May 4 11:54:56 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.170 co
llision detected, sourced by 0030-6e48-47d3 on Ethernet0/8 of VLAN10 and 00b0-d0
d1-5668on Ethernet0/8 of VLAN10
//ARP冲突告警:检测到IP地址10.254.200.170冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从
Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)
查看日志发现有大量密集的IP地址冲突告警,发生冲突的IP可能在变化(如10.254.200.169
与10.254.200.170),但是发生冲突的某个MAC地址(00b0-d0d1-5668)始终不变,则可判
学习啦在线学习网 定存在ARP攻击,须查出攻击主机(mac:00b0-d0d1-5668)加以处理。
2.2 查看设备的ARP表
<S8508>display arp
Type: S-Static D-Dynamic
学习啦在线学习网 IP Address MAC Address VLAN ID Port Name Aging Type
10.175.2.161 0011-253e-5bee100 Ethernet0/1/51 D
学习啦在线学习网 10.175.2.165 0011-253e-5bee100 Ethernet0/1/5 2 D
学习啦在线学习网 10.175.2.166 0011-253e-5bee100 Ethernet0/1/5 2 D
10.175.2.167 0011-253e-5bee100 Ethernet0/1/5 2 D
学习啦在线学习网 10.175.2.168 0011-253e-5bee100 Ethernet0/1/5 3 D
学习啦在线学习网 10.175.2.169 0011-253e-5bee100 Ethernet0/1/5 3 D
学习啦在线学习网 10.175.2.170 0011-253e-5bee 100 Ethernet0/1/5 3 D
10.175.2.176 0011-253e-5bee100 Ethernet0/1/5 5 D
10.175.2.177 0011-253e-5bee100 Ethernet0/1/5 5 D
10.175.2.181 0011-253e-5bee 100 Ethernet0/1/5 7 D
学习啦在线学习网 10.175.2.254 0011-253e-5bee100 Ethernet0/1/5 8 D
10.175.2.5 0011-253e-5bee100 Ethernet0/1/5 9 D
学习啦在线学习网 10.175.2.6 0011-253e-5bee 100 Ethernet0/1/5 9 D
10.175.2.11 0011-253e-5bee100 Ethernet0/1/5 10 D
学习啦在线学习网 10.175.2.12 0011-253e-5bee100 Ethernet0/1/5 10 D
学习啦在线学习网 10.175.2.120 0011-110c-43dc 100 Ethernet0/1/1 10 D
学习啦在线学习网 10.175.2.17 0011-253e-5bee100 Ethernet0/1/5 11 D
10.175.2.15 0030-6e06-311e 100 Ethernet1/1/24 11 D
10.175.2.18 0011-253e-5bee 100 Ethernet0/1/5 11 D
10.175.2.19 0011-253e-5bee100 Ethernet0/1/5 11 D
10.175.2.95 0040-0515-0b7b 100 Ethernet0/1/1 11 D
10.175.2.88 00d0-c958-6395 100 Ethernet1/1/47 13 D
学习啦在线学习网 10.175.2.84 00d0-c958-6455 100 Ethernet0/1/32 14 D
…………
学习啦在线学习网 如果发现存在多个IP(一般这些IP都同属一个网段)对应一个MAC、且对应的交换机端口为下行端口的现象,也可判定网络中存在ARP攻击,需查找出攻击主机(mac:0011-253e-5bee)做相应处理。
学习啦在线学习网 2.3 在S6500上查看ARP攻击
进入隐含模式
学习啦在线学习网 [6505B]en
[6505B-testdiag]catch rxtx by sa slot 0 // 打开开关统计上送CPU的报文
学习啦在线学习网 Slot 0: information of Module RxTx
[6505B-testdiag]catch rxtx end slot 0 //间隔10s后再敲以下命令关闭并显示结果
Slot 0: information of Module RxTx
The Catch Result of SA is :
学习啦在线学习网 e02101177a -------- 738
46148b0c9 -------- 212
学习啦在线学习网 e04c9925c6 -------- 392
1617b4294d -------- 76
学习啦在线学习网 e019094b15 -------- 9
1422c3261 -------- 820
学习啦在线学习网 a0c9ef9ba1 -------- 1152
c76a028f0 -------- 89
学习啦在线学习网 4619a4162 -------- 1190
461451295 -------- 853
1a4d664c2b -------- 423
学习啦在线学习网 16ec6c792 -------- 702
学习啦在线学习网 e04c4a6421 -------- 27
学习啦在线学习网 aeb534b32 -------- 138
00e0a004dd95 -------- 759
此方法可快速定位arp攻击主机,10s内上送CPU报文个数超过1000的mac都比较异常,应将此类mac对应的主机查找出来加以处理。
2.4 查找攻击主机
学习啦在线学习网 首先在网关交换机上查找攻击主机的MAC地址:
学习啦在线学习网 <S3528>display mac 00b0-d0d1-5668
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
00b0-d0d1-566810 Learned Ethernet0/8 230
学习啦在线学习网 判断该mac地址是从Ethernet0/8端口学习到的,如果该端口是直接接主机的,则其下挂主机就是攻击主机;如果Ethernet0/8端口下还级联了交换机,则登陆下层交换机继续查找,直至找到该主机为止:
学习啦在线学习网 <nS2016> display mac 00b0-d0d1-5668
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
学习啦在线学习网 00b0-d0d1-566810 Learned Ethernet0/13 200
END
看了“华为交换机如何识别arp攻击”的人还看了