局域网内用户时通时断故障解决办法

    1、故障现象描述

    网关为华为设备，局域网内用户时通时断，同时设备输出大量地址冲突的告警信息。ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])

    2、故障原因分析

    1、任意视图下执行命令display logbuffer查看日志信息，根据日志信息得到攻击者的MAC地址MacAddress。

     <HUAWEI> display logbuffer

     ... ...

     ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING]).

……

    2、根据攻击者的MAC地址查找MAC地址表，从而获取到攻击源所在的端口。

    3、网络排查定位出攻击源，发现局域网内用户的PC假冒网关向同网段设备请求IP，由PC中毒引起。

    3、故障处理步骤

    1、对PC进行杀毒。

    2、在设备上配置ARP防网关冲突攻击功能。设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

    <HUAWEI> system-view

    [HUAWEI] arp anti-attack gateway-duplicate enable

    4、经验总结与建议

    攻击者将网关地址设置为中毒PC的静态IP地址，中毒PC的静态IP地址设置完成后，发送免费ARP报文在局域网内进行广播，该局域网内其他PC收到此报文后，会修改自身的网关ARP表项，修改网关MAC为攻击者MAC，导致该局域网内所有用户无法正常使用网络，网络中断。

    当攻击者频繁发送源IP地址为网关地址的免费ARP报文，即使网关设备收到此报文能够通知局域网内正常主机把网关抢回，但是主机网关MAC地址频繁切换也会导致网络中断。