NE40同一单板下某端口受ARP攻击导致另一端口下wap业务中断

发布时间:  2012-07-27 浏览次数:  123 下载次数:  1
问题描述
组网: NE40-----S6500-----内网
                |
             AR2831----wap网关服务器
组网描述:该网络为wap业务及管理网络组网,其中NE40 slot_1(16FE)单板14口和15口分别接了AR2831及S6500。NE40上配置了两个VLANIF三层接口分别作为AR2831的互联接口及S6500下内网管理用户的网关地址。NE40 eth1/0/14作为wap网关业务出口,eth1/0/15作为内网用户网管出口。
S6500做二层Lanswith。
故障现象:某日wap业务中断,NE40pingAR2831互联IP不通。
告警信息

处理过程
1、查看NE40eth1/0/14口状态物理、协议都为UP,且NE40与AR2831之间收发都无CRC、ERROR等报文。
2、更换AR2831与NE40之间互联端口其它正常端口,故障依旧。
3、查看slot_1单板system-bucket发现6号漏桶存在大量丢弃。可是eth1/0/14与AR2831之间为三层接口,且设备之间也不会发送如此多的ARP报文,只有下挂二层网络才有可能发送如此多的ARP报文。通过确认,eth1/0/15下接入了客户内部二层网络。随后将eth1/0/15镜像抓包果然发现某台PC主机正在发送大量的ARP请求报文,分析得知,如此多的ARP报文,导致了system-bucket 6号漏桶溢出,包括正常ARP报文在内。由于单板system-bucket为单板共享,所以eth1/0/15受到ARP攻击导致了eth1/0/14端口业务中断。
4、根据攻击主机MAC地址向下排查,最后找到该PC,客户将其关闭后业务恢复。
根因
1、NE40 slot_1 eth1/0/14口与AR2831之间链路故障。
2、NE40 slot_1 ethe1/0/14口硬件故障。
3、NE40 受到攻击。
建议与总结
二层网络极易受到攻击,请在使用过程中注意防毒、杀毒工作。

END