华为交换机上如何识别ARP攻击

1、噩荜务圃网络主机侧攻击识别1.1 Windows系统如遇到主机不能与网关正常通信时，则在DOS界面下，输入arp –a命令，查看本主机的ARP缓存表：C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic核对ARP缓存表中，网关的MAC地址是否与实际网关MAC一致。如不一致，说明受到ARP欺骗攻击，攻击主机的MAC地址即为00-00-00-00-00-01。有时，在查看ARP表时会发现有相同MAC对应多个IP的情况，此现象一般也是网络中存在ARP攻击所致：C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic192.168.16.2 00-00-00-00-00-02dynamic192.168.16.3 00-00-00-00-00-02 dynamic192.168.16.4 00-00-00-00-00-02 dynamic1.2 UNIX系统同理，网络不通时查看主机的ARP缓存

2、网蔡龇呶挞关设备侧攻击识别如发现网关设备（通常都为三层交换机）下挂的主机存在ping网关不通，无法访问外网的情况，则可通过以下步骤来判断是否细癌赜清受到ARP攻击：2.1 查看设备日志<S3528>display logbufferLogging Buffer Configuration and contents:enabledallowed max buffer size : 1024actual buffer size : 256channel number : 4 , channel name : logbufferdropped messages : 0overwrote messages : 13003current messages : 256%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 collision detected, sourced by 00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e48-573b on Ethernet0/10 of VLAN10//ARP冲突告警：检测到IP地址10.254.200.169冲突，引起冲突的MAC地址为00b0-d0d1-5668（从Ethernet0/8 VLAN10学习到）和0030-6e48-573b（从Ethernet0/10 VLAN10学习到）%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 collision detected, sourced by 0030-6e48-573b on Ethernet0/10 of VLAN10 and 00b0-d0d1-5668on Ethernet0/8 of VLAN10//ARP冲突告警：检测到IP地址10.254.200.169冲突，引起冲突的MAC地址为00b0-d0d1-5668 （从Ethernet0/8 VLAN10学习到）和0030-6e48-573b（从Ethernet0/10 VLAN10学习到）%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 collision detected, sourced by00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e48-573b on Ethernet0/10 of VLAN10//ARP冲突告警：检测到IP地址10.254.200.169冲突，引起冲突的MAC地址为00b0-d0d1-5668 （从Ethernet0/8 VLAN10学习到）和0030-6e48-573b（从Ethernet0/10 VLAN10学习到）%May 4 11:54:56 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.170 collision detected, sourced by 0030-6e48-47d3 on Ethernet0/8 of VLAN10 and 00b0-d0d1-5668on Ethernet0/8 of VLAN10//ARP冲突告警：检测到IP地址10.254.200.170冲突，引起冲突的MAC地址为00b0-d0d1-5668 （从Ethernet0/8 VLAN10学习到）和0030-6e48-573b（从Ethernet0/10 VLAN10学习到）查看日志发现有大量密集的IP地址冲突告警，发生冲突的IP可能在变化（如10.254.200.169与10.254.200.170），但是发生冲突的某个MAC地址（00b0-d0d1-5668）始终不变，则可判定存在ARP攻击，须查出攻击主机（mac：00b0-d0d1-5668）加以处理。2.2 查看设备的ARP表<S8508>display arpType: S-Static D-DynamicIP Address MAC Address VLAN ID Port Name Aging Type10.175.2.161 0011-253e-5bee100 Ethernet0/1/51 D10.175.2.165 0011-253e-5bee100 Ethernet0/1/5 2 D10.175.2.166 0011-253e-5bee100 Ethernet0/1/5 2 D10.175.2.167 0011-253e-5bee100 Ethernet0/1/5 2 D10.175.2.168 0011-253e-5bee100 Ethernet0/1/5 3 D10.175.2.169 0011-253e-5bee100 Ethernet0/1/5 3 D10.175.2.170 0011-253e-5bee 100 Ethernet0/1/5 3 D10.175.2.176 0011-253e-5bee100 Ethernet0/1/5 5 D10.175.2.177 0011-253e-5bee100 Ethernet0/1/5 5 D10.175.2.181 0011-253e-5bee 100 Ethernet0/1/5 7 D10.175.2.254 0011-253e-5bee100 Ethernet0/1/5 8 D10.175.2.5 0011-253e-5bee100 Ethernet0/1/5 9 D10.175.2.6 0011-253e-5bee 100 Ethernet0/1/5 9 D10.175.2.11 0011-253e-5bee100 Ethernet0/1/5 10 D10.175.2.12 0011-253e-5bee100 Ethernet0/1/5 10 D10.175.2.120 0011-110c-43dc 100 Ethernet0/1/1 10 D10.175.2.17 0011-253e-5bee100 Ethernet0/1/5 11 D10.175.2.15 0030-6e06-311e 100 Ethernet1/1/24 11 D10.175.2.18 0011-253e-5bee 100 Ethernet0/1/5 11 D10.175.2.19 0011-253e-5bee100 Ethernet0/1/5 11 D10.175.2.95 0040-0515-0b7b 100 Ethernet0/1/1 11 D10.175.2.88 00d0-c958-6395 100 Ethernet1/1/47 13 D10.175.2.84 00d0-c958-6455 100 Ethernet0/1/32 14 D…………如果发现存在多个IP（一般这些IP都同属一个网段）对应一个MAC、且对应的交换机端口为下行端口的现象，也可判定网络中存在ARP攻击，需查找出攻击主机（mac：0011-253e-5bee）做相应处理。2.3 在S6500上查看ARP攻击进入隐含模式[6505B]en[6505B-testdiag]catch rxtx by sa slot 0 // 打开开关统计上送CPU的报文 Slot 0: information of Module RxTx[6505B-testdiag]catch rxtx end slot 0 //间隔10s后再敲以下命令关闭并显示结果Slot 0: information of Module RxTxThe Catch Result of SA is :e02101177a -------- 73846148b0c9 -------- 212e04c9925c6 -------- 3921617b4294d -------- 76e019094b15 -------- 91422c3261 -------- 820a0c9ef9ba1 -------- 1152c76a028f0 -------- 894619a4162 -------- 1190461451295 -------- 8531a4d664c2b -------- 42316ec6c792 -------- 702e04c4a6421 -------- 27aeb534b32 -------- 13800e0a004dd95 -------- 759此方法可快速定位arp攻击主机，10s内上送CPU报文个数超过1000的mac都比较异常，应将此类mac对应的主机查找出来加以处理。2.4 查找攻击主机首先在网关交换机上查找攻击主机的MAC地址：<S3528>display mac 00b0-d0d1-5668MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)00b0-d0d1-566810 Learned Ethernet0/8 230判断该mac地址是从Ethernet0/8端口学习到的，如果该端口是直接接主机的，则其下挂主机就是攻击主机；如果Ethernet0/8端口下还级联了交换机，则登陆下层交换机继续查找，直至找到该主机为止：<nS2016> display mac 00b0-d0d1-5668MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)00b0-d0d1-566810 Learned Ethernet0/13 200