攻击arp攻击
知以太网OAMSSH程飞2015-07-13发表S12500由于IP/ARP攻击导致下一跳资源不足案例现网S12500设备1框4号槽位单板下有很多用户反馈不能正常PING通网关,也不能通过三层访问其他网络业务.
诊断日志中有如下的打印:%@1493461564Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2e,P2:ffffffff,P3:11.
%@1493461565Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2f,P2:ffffffff,P3:11.
%@1493461564Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2e,P2:ffffffff,P3:11.
%@1493461565Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2f,P2:ffffffff,P3:11.
通过进一步查看诊断日志,发现在出现问题开始4号槽位单板打印类似如下信息,P1后面对应的是需要访问的IP地址(十六进制表示,如a8b1b3b转换成十进制为10.
139.
27.
59).
从信息中,也可以看到这些访问的地址是递增的.
当网络中存在连续的IP扫描或ARP攻击时才会出现地址递增的可能.
%@1493461564Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2e,P2:ffffffff,P3:11.
%@1493461565Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b2f,P2:ffffffff,P3:11.
%@1493461566Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b30,P2:ffffffff,P3:11.
%@1493461567Jun1810:26:25:5082012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b31,P2:ffffffff,P3:11.
%@1493461568Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b32,P2:ffffffff,P3:11.
%@1493461569Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b33,P2:ffffffff,P3:11.
%@1493461570Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b34,P2:ffffffff,P3:11.
%@1493461571Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b35,P2:ffffffff,P3:11.
%@1493461572Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b36,P2:ffffffff,P3:11.
%@1493461573Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b37,P2:ffffffff,P3:11.
%@1493461574Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b38,P2:ffffffff,P3:11.
%@1493461575Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b39,P2:ffffffff,P3:11.
%@1493461576Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b3a,P2:ffffffff,P3:11.
%@1493461577Jun1810:26:25:5092012ZJ-DS-S9512EChassis=1-Slot=4;DRVL3/3/GET_PARA_INVALID:Getparainvalid:0xcc440000[594]:P1:a8b1b3b,P2:ffffffff,P3:11.
2.
软件实现上,当收到IP扫描或ARP攻击时,为了实现防攻击功能,会申请一个下一跳资源,如果此时IP扫描过多会导致下一跳资源占用过多,甚至出现资源不足的情况,影响正常用户的上网.
3.
从目前的正常情况下,下一跳资源占用也是在一个比较高的数量上,而其中大部分为ARP占用的:Ipv4routeprefix:27332Ipv6routeprefix:15Allocatedrouteentry:9195Ipv4Ucallocatednexthop:905518010000000Ipv6Ucallocatednexthop:014000100000Ipv4Mcallocatednexthop:3Ipv6Mcallocatednexthop:0Tunnelallocatednexthop:0Ipv4Vnallocatednexthop:250000000000Maxsupportvrf:1024Maxsupportipv4prefix:262144Maxsupportipv6prefix:65536Maxsupportnexthop:13312即此时已经占用9195个下一跳,而此单板只支持13312个下一跳资源.
纵上所述,此问题是由于当时网络中存在IP扫描和ARP攻击导致下一跳资源被异常占用,引发正常用户无法访问网络的情况.
1.
可以在网络中部署ARP主动确认功能,以及关闭ARP黑洞路由功能,命令如下:undoarpresolving-routeenable关闭ARP黑洞路由后当收到IP扫描的报文时不再下发黑洞路由,减少下一跳资源占用,这可能会导致CPU比正常情况下高的情况,但硬件中可以通过CPU-CODE机制限速这类上送CPU的报文.
arpanti-attackactive-ackenable启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项,异常占用下一跳资源.
2.
可以在网络中部署源MAC地址固定的ARP攻击检测功能,命令入下:arpanti-attacksource-macfilter在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值(默认为150),则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中.
一些重要的设备,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该MAC地址存在攻击也不会被检测、过滤.
命令如下:arpanti-attacksource-macexclude-macmac-address&3.
把部分设备的网关下移,把网关分散到不同网络设备上.
如果网络中存在IP扫描和ARP攻击会导致下一跳资源被异常占用,引发正常用户无法访问网络的情况.
这个时候要根据日志信息,诊断信息,诊断文件以及现网情况共同分析.
LOCVPS新上韩国KVM,全场8折,2G内存套餐月付44元起_网络传真服务器
LOCVPS(全球云)发布了新上韩国机房KVM架构主机信息,提供流量和带宽方式,适用全场8折优惠码,优惠码最低2G内存套餐月付仅44元起。这是一家成立较早的国人VPS服务商,目前提供洛杉矶MC、洛杉矶C3、和香港邦联、香港沙田电信、香港大埔、日本东京、日本大阪、新加坡、德国和荷兰等机房VPS主机,基于KVM或者XEN架构。下面分别列出几款韩国机房KVM主机配置信息。韩国KVM流量型套餐:KR-Pl...
港云网络(¥1/月活动机器),香港CN2 4核4G 1元/月 美国CN2
港云网络官方网站商家简介港云网络成立于2016年,拥有IDC/ISP/云计算资质,是正规的IDC公司,我们采用优质硬件和网络,为客户提供高速、稳定的云计算服务。公司拥有一流的技术团队,提供7*24小时1对1售后服务,让您无后顾之忧。我们目前提供高防空间、云服务器、物理服务器,高防IP等众多产品,为您提供轻松上云、安全防护。点击进入港云网络官方网站港云网络中秋福利1元领【每人限量1台】,售完下架,活...
易探云香港vps主机价格多少钱?香港云服务器主机租用价格
易探云香港vps主机价格多少钱?香港vps主机租用费用大体上是由配置决定的,我们选择香港vps主机租用最大的优势是免备案vps。但是,每家服务商的机房、配置、定价也不同。我们以最基础配置为标准,综合比对各大香港vps主机供应商的价格,即可选到高性能、价格适中的香港vps主机。通常1核CPU、1G内存、2Mbps独享带宽,价格在30元-120元/月。不过,易探云香港vps主机推出四个机房的优惠活动,...
-
聚酯纤维和棉哪个好袜子是棉的好还是聚酯纤维的好?手动挡和自动挡哪个好自动挡手动挡哪个好?录音软件哪个好好用的录音软件! 急!!绝地求生加速器哪个好绝地求生用什么加速器比较好?手机管家哪个好手机管家 用什么最好?雅思和托福哪个好考托福好考还是雅思好考?qq空间登录QQ页面上空间不能登陆了,怎么回事?考生个人空间登录我是2007年入的学2010年毕业我想查询这3年的成绩,怎么办啊?求解答!空间登录qq手机QQ能不能直接登录空间而不用上QQ铁通dns服务器地址桂林铁通DNS服务器地址是多少?