華為交換機(jī)如何識(shí)別arp攻擊

　　局域網(wǎng)中經(jīng)常會(huì)發(fā)生ARP攻擊，整個(gè)網(wǎng)絡(luò)擁塞、緩慢、怨言四起，作為網(wǎng)絡(luò)管理員你除了重啟之外還需要識(shí)別ARP攻擊，下面是學(xué)習(xí)啦小編給大家整理的一些有關(guān)華為交換機(jī)識(shí)別arp攻擊的方法，希望對(duì)大家有幫助!

　　華為交換機(jī)識(shí)別arp攻擊的方法

　　1、 網(wǎng)絡(luò)主機(jī)側(cè)攻擊識(shí)別

　　1.1 Windows系統(tǒng)

　　如遇到主機(jī)不能與網(wǎng)關(guān)正常通信時(shí)，則在DOS界面下，輸入arp –a命令，查看本主機(jī)的ARP緩存表：

　　C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic

　　核對(duì)ARP緩存表中，網(wǎng)關(guān)的MAC地址是否與實(shí)際網(wǎng)關(guān)MAC一致。如不一致，說(shuō)明受到ARP欺騙攻擊，攻擊主機(jī)的MAC地址即為00-00-00-00-00-01。有時(shí)，在查看ARP表時(shí)會(huì)發(fā)現(xiàn)有相同MAC對(duì)應(yīng)多個(gè)IP的情況，此現(xiàn)象一般也是網(wǎng)絡(luò)中存在ARP攻擊所致：

　　C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic192.168.16.2 00-00-00-00-00-02dynamic192.168.16.3 00-00-00-00-00-02 dynamic192.168.16.4 00-00-00-00-00-02 dynamic

　　1.2 UNIX系統(tǒng)

　　同理，網(wǎng)絡(luò)不通時(shí)查看主機(jī)的ARP緩存

　　2、 網(wǎng)關(guān)設(shè)備側(cè)攻擊識(shí)別

　　如發(fā)現(xiàn)網(wǎng)關(guān)設(shè)備(通常都為三層交換機(jī))下掛的主機(jī)存在ping網(wǎng)關(guān)不通，無(wú)法訪問(wèn)外網(wǎng)的情況，則可通過(guò)以下步驟來(lái)判斷是否受到ARP攻擊：

　　2.1 查看設(shè)備日志

　　<S3528>display logbuffer

　　Logging Buffer Configuration and contents:enabled

　　allowed max buffer size : 1024

　　actual buffer size : 256

　　channel number : 4 , channel name : logbuffer

　　dropped messages : 0

　　overwrote messages : 13003

　　current messages : 256

　　%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

　　llision detected, sourced by 00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

　　48-573b on Ethernet0/10 of VLAN10

　　//ARP沖突告警：檢測(cè)到IP地址10.254.200.169沖突，引起沖突的MAC地址為00b0-d0d1-5668

　　(從Ethernet0/8 VLAN10學(xué)習(xí)到)和0030-6e48-573b(從Ethernet0/10 VLAN10學(xué)習(xí)到)

　　%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

　　llision detected, sourced by 0030-6e48-573b on Ethernet0/10 of VLAN10 and 00b0-d

　　0d1-5668on Ethernet0/8 of VLAN10

　　//ARP沖突告警：檢測(cè)到IP地址10.254.200.169沖突，引起沖突的MAC地址為00b0-d0d1-5668 (從

　　Ethernet0/8 VLAN10學(xué)習(xí)到)和0030-6e48-573b(從Ethernet0/10 VLAN10學(xué)習(xí)到)

　　%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

　　llision detected, sourced by00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

　　48-573b on Ethernet0/10 of VLAN10

　　//ARP沖突告警：檢測(cè)到IP地址10.254.200.169沖突，引起沖突的MAC地址為00b0-d0d1-5668 (從

　　Ethernet0/8 VLAN10學(xué)習(xí)到)和0030-6e48-573b(從Ethernet0/10 VLAN10學(xué)習(xí)到)

　　%May 4 11:54:56 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.170 co

　　llision detected, sourced by 0030-6e48-47d3 on Ethernet0/8 of VLAN10 and 00b0-d0

　　d1-5668on Ethernet0/8 of VLAN10

　　//ARP沖突告警：檢測(cè)到IP地址10.254.200.170沖突，引起沖突的MAC地址為00b0-d0d1-5668 (從

　　Ethernet0/8 VLAN10學(xué)習(xí)到)和0030-6e48-573b(從Ethernet0/10 VLAN10學(xué)習(xí)到)

　　查看日志發(fā)現(xiàn)有大量密集的IP地址沖突告警，發(fā)生沖突的IP可能在變化(如10.254.200.169

　　與10.254.200.170)，但是發(fā)生沖突的某個(gè)MAC地址(00b0-d0d1-5668)始終不變，則可判

　　定存在ARP攻擊，須查出攻擊主機(jī)(mac：00b0-d0d1-5668)加以處理。

　　2.2 查看設(shè)備的ARP表

　　<S8508>display arp

　　Type: S-Static D-Dynamic

　　IP Address MAC Address VLAN ID Port Name Aging Type

　　10.175.2.161 0011-253e-5bee100 Ethernet0/1/51 D

　　10.175.2.165 0011-253e-5bee100 Ethernet0/1/5 2 D

　　10.175.2.166 0011-253e-5bee100 Ethernet0/1/5 2 D

　　10.175.2.167 0011-253e-5bee100 Ethernet0/1/5 2 D

　　10.175.2.168 0011-253e-5bee100 Ethernet0/1/5 3 D

　　10.175.2.169 0011-253e-5bee100 Ethernet0/1/5 3 D

　　10.175.2.170 0011-253e-5bee 100 Ethernet0/1/5 3 D

　　10.175.2.176 0011-253e-5bee100 Ethernet0/1/5 5 D

　　10.175.2.177 0011-253e-5bee100 Ethernet0/1/5 5 D

　　10.175.2.181 0011-253e-5bee 100 Ethernet0/1/5 7 D

　　10.175.2.254 0011-253e-5bee100 Ethernet0/1/5 8 D

　　10.175.2.5 0011-253e-5bee100 Ethernet0/1/5 9 D

　　10.175.2.6 0011-253e-5bee 100 Ethernet0/1/5 9 D

　　10.175.2.11 0011-253e-5bee100 Ethernet0/1/5 10 D

　　10.175.2.12 0011-253e-5bee100 Ethernet0/1/5 10 D

　　10.175.2.120 0011-110c-43dc 100 Ethernet0/1/1 10 D

　　10.175.2.17 0011-253e-5bee100 Ethernet0/1/5 11 D

　　10.175.2.15 0030-6e06-311e 100 Ethernet1/1/24 11 D

　　10.175.2.18 0011-253e-5bee 100 Ethernet0/1/5 11 D

　　10.175.2.19 0011-253e-5bee100 Ethernet0/1/5 11 D

　　10.175.2.95 0040-0515-0b7b 100 Ethernet0/1/1 11 D

　　10.175.2.88 00d0-c958-6395 100 Ethernet1/1/47 13 D

　　10.175.2.84 00d0-c958-6455 100 Ethernet0/1/32 14 D

　　…………

　　如果發(fā)現(xiàn)存在多個(gè)IP(一般這些IP都同屬一個(gè)網(wǎng)段)對(duì)應(yīng)一個(gè)MAC、且對(duì)應(yīng)的交換機(jī)端口為下行端口的現(xiàn)象，也可判定網(wǎng)絡(luò)中存在ARP攻擊，需查找出攻擊主機(jī)(mac：0011-253e-5bee)做相應(yīng)處理。

　　2.3 在S6500上查看ARP攻擊

　　進(jìn)入隱含模式

　　[6505B]en

　　[6505B-testdiag]catch rxtx by sa slot 0 // 打開(kāi)開(kāi)關(guān)統(tǒng)計(jì)上送CPU的報(bào)文

　　Slot 0: information of Module RxTx

　　[6505B-testdiag]catch rxtx end slot 0 //間隔10s后再敲以下命令關(guān)閉并顯示結(jié)果

　　Slot 0: information of Module RxTx

　　The Catch Result of SA is :

　　e02101177a -------- 738

　　46148b0c9 -------- 212

　　e04c9925c6 -------- 392

　　1617b4294d -------- 76

　　e019094b15 -------- 9

　　1422c3261 -------- 820

　　a0c9ef9ba1 -------- 1152

　　c76a028f0 -------- 89

　　4619a4162 -------- 1190

　　461451295 -------- 853

　　1a4d664c2b -------- 423

　　16ec6c792 -------- 702

　　e04c4a6421 -------- 27

　　aeb534b32 -------- 138

　　00e0a004dd95 -------- 759

　　此方法可快速定位arp攻擊主機(jī)，10s內(nèi)上送CPU報(bào)文個(gè)數(shù)超過(guò)1000的mac都比較異常，應(yīng)將此類(lèi)mac對(duì)應(yīng)的主機(jī)查找出來(lái)加以處理。

　　2.4 查找攻擊主機(jī)

　　首先在網(wǎng)關(guān)交換機(jī)上查找攻擊主機(jī)的MAC地址：

　　<S3528>display mac 00b0-d0d1-5668

　　MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

　　00b0-d0d1-566810 Learned Ethernet0/8 230

　　判斷該mac地址是從Ethernet0/8端口學(xué)習(xí)到的，如果該端口是直接接主機(jī)的，則其下掛主機(jī)就是攻擊主機(jī);如果Ethernet0/8端口下還級(jí)聯(lián)了交換機(jī)，則登陸下層交換機(jī)繼續(xù)查找，直至找到該主機(jī)為止：

　　<nS2016> display mac 00b0-d0d1-5668

　　MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

　　00b0-d0d1-566810 Learned Ethernet0/13 200

　　END

看了“華為交換機(jī)如何識(shí)別arp攻擊”的人還看了

1.關(guān)于網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊的介紹

2.華為交換機(jī)配置命令有哪些

3.華為quidway交換機(jī)配置命令有哪些

4.如何配置華為單臂路由

5.華為單臂路由怎么配置

6.華為ac服務(wù)集怎么配置