局域网内用户时通时断故障解决办法
1、故障现象描述
网关为华为设备,局域网内用户时通时断,同时设备输出大量地址冲突的告警信息。ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、故障原因分析
1、任意视图下执行命令display logbuffer查看日志信息,根据日志信息得到攻击者的MAC地址MacAddress。
<huawei> display logbuffer/<huawei>
... ...
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING]).
……
2、根据攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口。
3、网络排查定位出攻击源,发现局域网内用户的PC假冒网关向同网段设备请求IP,由PC中毒引起。
3、故障处理步骤
1、对PC进行杀毒。
2、在设备上配置ARP防网关冲突攻击功能。设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。
<huawei> system-view/<huawei>
[HUAWEI] arp anti-attack gateway-duplicate enable
4、经验总结与建议
攻击者将网关地址设置为中毒PC的静态IP地址,中毒PC的静态IP地址设置完成后,发送免费ARP报文在局域网内进行广播,该局域网内其他PC收到此报文后,会修改自身的网关ARP表项,修改网关MAC为攻击者MAC,导致该局域网内所有用户无法正常使用网络,网络中断。
当攻击者频繁发送源IP地址为网关地址的免费ARP报文,即使网关设备收到此报文能够通知局域网内正常主机把网关抢回,但是主机网关MAC地址频繁切换也会导致网络中断。
閱讀更多 思唯網絡學院lisa老師 的文章
