发布时间 : 星期六 文章网络故障更新完毕开始阅读b58b4d86a76e58fafbb0030e
目前收集的信息太少,不能完全的确定原因,光从日志上来看,网络中确实存在ARP攻击,根据日志还不能完全分析出原因。
以下是我个人的初步推断:
1. 端口下有arp攻击,导致端口下上送的arp数据包过多,超出限定的数值(缺省是1s
处理100个arp报文)。
如果超出了限速值,在后续一段时间内持续丢弃该接口下收到的所有ARP报文的功能,也就是pc正常的arp请求也不能
正常处理,导致学不到网关的arp导致网络不通。但是手册上说arp限速默认是不开启的,所以还需要收集信息进一步判断。
display arp anti-attack configuration命令用来查看ARP防攻击配置
display arp anti-attack arpmiss-record-info 命令用来查看ARP Miss消息限速触发时的相关信息
display arp packet statistics命令用来查看ARP处理的报文统计数据。
2.arp报文源mac地址非法。可能原因:设备收到了源mac地址非法的arp报文,查找
您网络中的电脑是否中毒了。请根据以下思路排查: 根据告警信息中的SourceInterface找到发生攻击的接口。 根据告警信息中的SourceMAC锁定发出攻击报文的用户。
查看该用户主机是否异常,如没有异常,该用户可能是攻击者,可适当采取惩罚措施,如将该用户下线等。
建议:查找arp攻击源,对其进行处理。在进行观察,如果还发生类似断网问题,则需
要收集当时的设备的diag信息(也就是诊断信息display diag)、ARP表、能通网关、cpu、内存等等。再根据定位出的故障进行优化,可以找华为400配合。
Aug 13 2015 17:21:43+08:00 UIH-JD-Office-DS01 %�SECE/4/PORT_ATTACK_OCCUR(l)[91]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet5/0/1, AttackProtocol=ARP-REQUEST)
Aug 13 2015 17:18:27+08:00 UIH-JD-Office-DS01 %�INFO/4/SUPPRESS_LOG(l)[92]:Last message repeated 1 times.(InfoID=1092489232, ModuleName=MSTP, InfoAlias=RECEIVE_MSTITC)
Aug 13 2015 17:16:39+08:00 UIH-JD-Office-DS01 %�SECE/4/PORT_ATTACK_OCCUR(l)[93]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet5/0/1, AttackProtocol=ARP-REQUEST)
Aug 13 2015 17:16:39+08:00 UIH-JD-Office-DS01 %�INFO/4/SUPPRESS_LOG(l)[94]:Last message repeated 1 times.(InfoID=1092489232, ModuleName=MSTP, InfoAlias=RECEIVE_MSTITC)
Aug 13 2015 17:07:49+08:00 UIH-JD-Office-DS01 %�INFO/4/SUPPRESS_LOG(l)[95]:Last message repeated 1 times.(InfoID=1092489232, ModuleName=MSTP, InfoAlias=RECEIVE_MSTITC)
Aug 13 2015 17:06:45+08:00 UIH-JD-Office-DS01 %�SECE/4/PORT_ATTACK_OCCUR(l)[96]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet5/0/1, AttackProtocol=ARP-REQUEST)
Aug 13 2015 17:06:45+08:00 UIH-JD-Office-DS01 %�INFO/4/SUPPRESS_LOG(l)[97]:Last message repeated 1 times.(InfoID=1092489232, ModuleName=MSTP, InfoAlias=RECEIVE_MSTITC)
Aug 13 2015 17:05:33+08:00 UIH-JD-Office-DS01 %�INFO/4/SUPPRESS_LOG(l)[98]:Last message repeated 1 times.(InfoID=4278652936, ModuleName=SECE, InfoAlias=PORT_ATTACK_OCCUR)
Aug 13 2015 17:05:25+08:00 UIH-JD-Office-DS01 %�SECE/4/PORT_ATTACK_OCCUR(l)[99]:Auto port-defend started.(SourceAttackInterface=GigabitEthernet5/1/5, AttackProtocol=ARP-REPLY)
Aug 13 2015 17:05:25+08:00 UIH-JD-Office-DS01 %�SECE/4/PORT_ATTACK_OCCUR(l)[100]:Auto port-defend started.(SourceAttackInterface=GigabitEthernet5/1/5, AttackProtocol=ARP-REQUEST)