局域網內用戶時通時斷故障解決辦法
1、故障現象描述
網關為華為設備,局域網內用戶時通時斷,同時設備輸出大量地址衝突的告警信息。ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、故障原因分析
1、任意視圖下執行命令display logbuffer查看日誌信息,根據日誌信息得到攻擊者的MAC地址MacAddress。
<huawei> display logbuffer/<huawei>
... ...
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING]).
……
2、根據攻擊者的MAC地址查找MAC地址表,從而獲取到攻擊源所在的端口。
3、網絡排查定位出攻擊源,發現局域網內用戶的PC假冒網關向同網段設備請求IP,由PC中毒引起。
3、故障處理步驟
1、對PC進行殺毒。
2、在設備上配置ARP防網關衝突攻擊功能。設備將生成ARP防攻擊表項,並在後續一段時間內丟棄該接口收到的同VLAN以及同源MAC地址的ARP報文,這樣就可以防止與網關地址衝突的ARP報文在VLAN內廣播。
<huawei> system-view/<huawei>
[HUAWEI] arp anti-attack gateway-duplicate enable
4、經驗總結與建議
攻擊者將網關地址設置為中毒PC的靜態IP地址,中毒PC的靜態IP地址設置完成後,發送免費ARP報文在局域網內進行廣播,該局域網內其他PC收到此報文後,會修改自身的網關ARP表項,修改網關MAC為攻擊者MAC,導致該局域網內所有用戶無法正常使用網絡,網絡中斷。
當攻擊者頻繁發送源IP地址為網關地址的免費ARP報文,即使網關設備收到此報文能夠通知局域網內正常主機把網關搶回,但是主機網關MAC地址頻繁切換也會導致網絡中斷。
閱讀更多 思唯網絡學院lisa老師 的文章