華為交換機如何識別arp攻擊

　　局域網(wǎng)中經(jīng)常會發(fā)生ARP攻擊，整個網(wǎng)絡擁塞、緩慢、怨言四起，作為網(wǎng)絡管理員你除了重啟之外還需要識別ARP攻擊，下面是學習啦小編給大家整理的一些有關(guān)華為交換機識別arp攻擊的方法，希望對大家有幫助!

　　華為交換機識別arp攻擊的方法

　　1、 網(wǎng)絡主機側(cè)攻擊識別

　　1.1 Windows系統(tǒng)

　　如遇到主機不能與網(wǎng)關(guān)正常通信時，則在DOS界面下，輸入arp –a命令，查看本主機的ARP緩存表：

　　C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic

　　核對ARP緩存表中，網(wǎng)關(guān)的MAC地址是否與實際網(wǎng)關(guān)MAC一致。如不一致，說明受到ARP欺騙攻擊，攻擊主機的MAC地址即為00-00-00-00-00-01。有時，在查看ARP表時會發(fā)現(xiàn)有相同MAC對應多個IP的情況，此現(xiàn)象一般也是網(wǎng)絡中存在ARP攻擊所致：

　　C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic192.168.16.2 00-00-00-00-00-02dynamic192.168.16.3 00-00-00-00-00-02 dynamic192.168.16.4 00-00-00-00-00-02 dynamic

　　1.2 UNIX系統(tǒng)

　　同理，網(wǎng)絡不通時查看主機的ARP緩存

　　2、 網(wǎng)關(guān)設備側(cè)攻擊識別

　　如發(fā)現(xiàn)網(wǎng)關(guān)設備(通常都為三層交換機)下掛的主機存在ping網(wǎng)關(guān)不通，無法訪問外網(wǎng)的情況，則可通過以下步驟來判斷是否受到ARP攻擊：

　　2.1 查看設備日志

　　<S3528>display logbuffer

　　Logging Buffer Configuration and contents:enabled

　　allowed max buffer size : 1024

　　actual buffer size : 256

　　channel number : 4 , channel name : logbuffer

　　dropped messages : 0

　　overwrote messages : 13003

　　current messages : 256

　　%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

　　llision detected, sourced by 00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

　　48-573b on Ethernet0/10 of VLAN10

　　//ARP沖突告警：檢測到IP地址10.254.200.169沖突，引起沖突的MAC地址為00b0-d0d1-5668

　　(從Ethernet0/8 VLAN10學習到)和0030-6e48-573b(從Ethernet0/10 VLAN10學習到)

　　%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

　　llision detected, sourced by 0030-6e48-573b on Ethernet0/10 of VLAN10 and 00b0-d

　　0d1-5668on Ethernet0/8 of VLAN10

　　//ARP沖突告警：檢測到IP地址10.254.200.169沖突，引起沖突的MAC地址為00b0-d0d1-5668 (從

　　Ethernet0/8 VLAN10學習到)和0030-6e48-573b(從Ethernet0/10 VLAN10學習到)

　　%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

　　llision detected, sourced by00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

　　48-573b on Ethernet0/10 of VLAN10

　　//ARP沖突告警：檢測到IP地址10.254.200.169沖突，引起沖突的MAC地址為00b0-d0d1-5668 (從

　　Ethernet0/8 VLAN10學習到)和0030-6e48-573b(從Ethernet0/10 VLAN10學習到)

　　%May 4 11:54:56 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.170 co

　　llision detected, sourced by 0030-6e48-47d3 on Ethernet0/8 of VLAN10 and 00b0-d0

　　d1-5668on Ethernet0/8 of VLAN10

　　//ARP沖突告警：檢測到IP地址10.254.200.170沖突，引起沖突的MAC地址為00b0-d0d1-5668 (從

　　Ethernet0/8 VLAN10學習到)和0030-6e48-573b(從Ethernet0/10 VLAN10學習到)

　　查看日志發(fā)現(xiàn)有大量密集的IP地址沖突告警，發(fā)生沖突的IP可能在變化(如10.254.200.169

　　與10.254.200.170)，但是發(fā)生沖突的某個MAC地址(00b0-d0d1-5668)始終不變，則可判

　　定存在ARP攻擊，須查出攻擊主機(mac：00b0-d0d1-5668)加以處理。

　　2.2 查看設備的ARP表

　　<S8508>display arp

　　Type: S-Static D-Dynamic

　　IP Address MAC Address VLAN ID Port Name Aging Type

　　10.175.2.161 0011-253e-5bee100 Ethernet0/1/51 D

　　10.175.2.165 0011-253e-5bee100 Ethernet0/1/5 2 D

　　10.175.2.166 0011-253e-5bee100 Ethernet0/1/5 2 D

　　10.175.2.167 0011-253e-5bee100 Ethernet0/1/5 2 D

　　10.175.2.168 0011-253e-5bee100 Ethernet0/1/5 3 D

　　10.175.2.169 0011-253e-5bee100 Ethernet0/1/5 3 D

　　10.175.2.170 0011-253e-5bee 100 Ethernet0/1/5 3 D

　　10.175.2.176 0011-253e-5bee100 Ethernet0/1/5 5 D

　　10.175.2.177 0011-253e-5bee100 Ethernet0/1/5 5 D

　　10.175.2.181 0011-253e-5bee 100 Ethernet0/1/5 7 D

　　10.175.2.254 0011-253e-5bee100 Ethernet0/1/5 8 D

　　10.175.2.5 0011-253e-5bee100 Ethernet0/1/5 9 D

　　10.175.2.6 0011-253e-5bee 100 Ethernet0/1/5 9 D

　　10.175.2.11 0011-253e-5bee100 Ethernet0/1/5 10 D

　　10.175.2.12 0011-253e-5bee100 Ethernet0/1/5 10 D

　　10.175.2.120 0011-110c-43dc 100 Ethernet0/1/1 10 D

　　10.175.2.17 0011-253e-5bee100 Ethernet0/1/5 11 D

　　10.175.2.15 0030-6e06-311e 100 Ethernet1/1/24 11 D

　　10.175.2.18 0011-253e-5bee 100 Ethernet0/1/5 11 D

　　10.175.2.19 0011-253e-5bee100 Ethernet0/1/5 11 D

　　10.175.2.95 0040-0515-0b7b 100 Ethernet0/1/1 11 D

　　10.175.2.88 00d0-c958-6395 100 Ethernet1/1/47 13 D

　　10.175.2.84 00d0-c958-6455 100 Ethernet0/1/32 14 D

　　…………

　　如果發(fā)現(xiàn)存在多個IP(一般這些IP都同屬一個網(wǎng)段)對應一個MAC、且對應的交換機端口為下行端口的現(xiàn)象，也可判定網(wǎng)絡中存在ARP攻擊，需查找出攻擊主機(mac：0011-253e-5bee)做相應處理。

　　2.3 在S6500上查看ARP攻擊

　　進入隱含模式

　　[6505B]en

　　[6505B-testdiag]catch rxtx by sa slot 0 // 打開開關(guān)統(tǒng)計上送CPU的報文

　　Slot 0: information of Module RxTx

　　[6505B-testdiag]catch rxtx end slot 0 //間隔10s后再敲以下命令關(guān)閉并顯示結(jié)果

　　Slot 0: information of Module RxTx

　　The Catch Result of SA is :

　　e02101177a -------- 738

　　46148b0c9 -------- 212

　　e04c9925c6 -------- 392

　　1617b4294d -------- 76

　　e019094b15 -------- 9

　　1422c3261 -------- 820

　　a0c9ef9ba1 -------- 1152

　　c76a028f0 -------- 89

　　4619a4162 -------- 1190

　　461451295 -------- 853

　　1a4d664c2b -------- 423

　　16ec6c792 -------- 702

　　e04c4a6421 -------- 27

　　aeb534b32 -------- 138

　　00e0a004dd95 -------- 759

　　此方法可快速定位arp攻擊主機，10s內(nèi)上送CPU報文個數(shù)超過1000的mac都比較異常，應將此類mac對應的主機查找出來加以處理。

　　2.4 查找攻擊主機

　　首先在網(wǎng)關(guān)交換機上查找攻擊主機的MAC地址：

　　<S3528>display mac 00b0-d0d1-5668

　　MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

　　00b0-d0d1-566810 Learned Ethernet0/8 230

　　判斷該mac地址是從Ethernet0/8端口學習到的，如果該端口是直接接主機的，則其下掛主機就是攻擊主機;如果Ethernet0/8端口下還級聯(lián)了交換機，則登陸下層交換機繼續(xù)查找，直至找到該主機為止：

　　<nS2016> display mac 00b0-d0d1-5668

　　MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

　　00b0-d0d1-566810 Learned Ethernet0/13 200

　　END

看了“華為交換機如何識別arp攻擊”的人還看了

1.關(guān)于網(wǎng)絡安全與局域網(wǎng)ARP地址欺騙攻擊的介紹

2.華為交換機配置命令有哪些

3.華為quidway交換機配置命令有哪些

4.如何配置華為單臂路由

5.華為單臂路由怎么配置

6.華為ac服務集怎么配置