網路拓撲圖如下
匯聚HWS7703--G2/0/3--------G1/0/28-接入H3C5560---1. 主機
2. 監控NVR
3. 小交換---主機
一、匯聚交換機上做了一些ARP防攻擊策略 :arp anti-attack gateway-duplicate enable
arp anti-attack gratuitous-arp drop
arp anti-attack packet-check sender-mac
arp anti-attack check user-bind alarm threshold 20
mac-address update arp
arp-miss speed-limit source-ip maximum 10
查看匯聚日志,有從G2/0/3介面進來的關于ARP的告警資訊
二、接入交換機上的配置只有劃分兩個VLAN,上行介面TRUNK放行這兩個VLAN
三、接入主機故障現象:ping 匯聚網關,局域網內部分主機掉線很頻繁,差不多10來分鐘掉一次,不做任何操作情況下,大概3、4分鐘
能夠自動重新連上。如果一出現time out 馬上重啟網卡或者cmd 里面靜態系結下網關,則可以馬上恢復和網關的通信。在time out的時候,查看本主機的ARP表,發現里面沒有網關的ARP表項。靜態系結網關后,ping主機差不多十幾分鐘會再次掉線,掉線時網關的ARP表項消失,等它三四分鐘后恢復通信后,arp -a 查看,有了網關的arp表項,動態的。周而復始。
匯聚的ARP表從G2/0/3介面學習到的IP ,imcomplete的均非此接入交換機下的真實IP
抓包軟體抓包情況如下
26.35.33.77為本主機IP
26.35.33.254為匯聚網關IP
其他IP地址均不是本局域網內主機的IP地址
而且本主機ping網關time out 的時候,可以發現本主機26.35.33.77發出很多請求網關的request,但是均得不到網關的回應。但同時
本主機卻收到大量網關廣播請求無效IP的廣播。此現象是否可以判斷為ARP泛洪攻擊?怎么防御?
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/230437.html
標籤:網絡設計與維護