局域网内用户时通时断故障解决办法

    1、故障现象描述

    网关为华为设备,局域网内用户时通时断,同时设备输出大量地址冲突的告警信息。ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])

    2、故障原因分析

    1、任意视图下执行命令display logbuffer查看日志信息,根据日志信息得到攻击者的MAC地址MacAddress。

     <HUAWEI> display logbuffer

     … …

     ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING]).

……

    2、根据攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口。

    3、网络排查定位出攻击源,发现局域网内用户的PC假冒网关向同网段设备请求IP,由PC中毒引起。

    3、故障处理步骤

    1、对PC进行杀毒。

    2、在设备上配置ARP防网关冲突攻击功能。设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

    <HUAWEI> system-view

    [HUAWEI] arp anti-attack gateway-duplicate enable

    4、经验总结与建议

    攻击者将网关地址设置为中毒PC的静态IP地址,中毒PC的静态IP地址设置完成后,发送免费ARP报文在局域网内进行广播,该局域网内其他PC收到此报文后,会修改自身的网关ARP表项,修改网关MAC为攻击者MAC,导致该局域网内所有用户无法正常使用网络,网络中断。

    当攻击者频繁发送源IP地址为网关地址的免费ARP报文,即使网关设备收到此报文能够通知局域网内正常主机把网关抢回,但是主机网关MAC地址频繁切换也会导致网络中断。

本文来自网络,本文观点不代表CMCC立场,转载请联系原作者。

发表评论

电子邮件地址不会被公开。 必填项已用*标注