局域网内用户时通时断故障解决办法
首页 > HuaWei > 故障处理   作者:圈哥  2016年7月25日 12:12 星期一  字号:   评论:0 条
时间:2016-7-25 12:12   评论:0 条 

局域网内用户时通时断故障解决办法

    1、故障现象描述

    网关为华为设备,局域网内用户时通时断,同时设备输出大量地址冲突的告警信息。ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])

 

    2、故障原因分析

    1、任意视图下执行命令display logbuffer查看日志信息,根据日志信息得到攻击者的MAC地址MacAddress

     <HUAWEI> display logbuffer

     ... ...

     ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING]).

……

    2、根据攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口。

    3、网络排查定位出攻击源,发现局域网内用户的PC假冒网关向同网段设备请求IP,由PC中毒引起。

 

    3、故障处理步骤

    1、对PC进行杀毒。

    2、在设备上配置ARP防网关冲突攻击功能。设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

    <HUAWEI> system-view

    [HUAWEI] arp anti-attack gateway-duplicate enable

 

    4、经验总结与建议

    攻击者将网关地址设置为中毒PC的静态IP地址,中毒PC的静态IP地址设置完成后,发送免费ARP报文在局域网内进行广播,该局域网内其他PC收到此报文后,会修改自身的网关ARP表项,修改网关MAC为攻击者MAC,导致该局域网内所有用户无法正常使用网络,网络中断。

    当攻击者频繁发送源IP地址为网关地址的免费ARP报文,即使网关设备收到此报文能够通知局域网内正常主机把网关抢回,但是主机网关MAC地址频繁切换也会导致网络中断。

 

 

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:481294053/474079428互相学习。     
本文地址:http://www.023wg.com/guzhang/310.html
版权声明:若无注明,本文皆为“重庆网管”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:重庆网管    圈哥