小说阅读器,《完美世界》txt全集

故障描述

交換機產(chǎn)品S9300作為網(wǎng)關(guān),局域網(wǎng)內(nèi)用戶時通時斷，網(wǎng)絡(luò)設(shè)備會經(jīng)常脫管，網(wǎng)關(guān)設(shè)備會打印大量地址沖突的告警。

故障分析

1、查看日志信息：
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根據(jù)日志信息記錄的攻擊者的MAC地址查找MAC地址表，從而獲取到攻擊源所在的端口，通過網(wǎng)絡(luò)進一步排查，定位出攻擊源，為PC中毒所致。PC假冒網(wǎng)關(guān)向同網(wǎng)段設(shè)備請求IP。

處理過程

對用戶PC殺毒，網(wǎng)關(guān)開啟防假冒網(wǎng)關(guān)攻擊功能。
在S9300上配置防網(wǎng)關(guān)沖突功能arp anti-attack gateway-duplicate enable，ARP網(wǎng)關(guān)沖突防攻擊功能使能后，系統(tǒng)生成ARP防攻擊表項，在后續(xù)一段時間內(nèi)對收到具有相同源MAC地址的報文直接丟棄，這樣可以防止與網(wǎng)關(guān)地址沖突的ARP報文在VLAN內(nèi)廣播。

建議/總結(jié)

攻擊者設(shè)置主機靜態(tài)IP地址時，把主機地址設(shè)置成網(wǎng)關(guān)地址。在主機設(shè)置靜態(tài)IP地址后，會發(fā)送免費ARP報文在局域網(wǎng)內(nèi)進行通告，該局域網(wǎng)內(nèi)其他PC機收到此報文后，會修改自身的網(wǎng)關(guān)ARP表項，修改網(wǎng)關(guān)MAC為攻擊者MAC，導(dǎo)致該局域網(wǎng)內(nèi)所有用戶無法正常使用網(wǎng)絡(luò)，網(wǎng)絡(luò)中斷。當(dāng)攻擊者頻繁發(fā)送源IP地址為網(wǎng)關(guān)地址的免費ARP報文，即使網(wǎng)關(guān)設(shè)備收到此報文能夠通知局域網(wǎng)內(nèi)正常主機把網(wǎng)關(guān)搶回，但是主機網(wǎng)關(guān)MAC地址頻繁切換也會導(dǎo)致網(wǎng)絡(luò)中斷。

交換機產(chǎn)品S9300作為網(wǎng)關(guān)局域網(wǎng)內(nèi)用戶時通時斷