Han Dreamnet特殊ARP处理机制,使汇聚交换机出现疑似ARP攻击现象,导致CPU升高

发布时间:  2016-12-19 浏览次数:  449 下载次数:  0
问题描述
网管上查看CPU利用率,高峰值75%,平均值在70%。
命令查看:
<Quidway>display cpu-usage
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage            : 68% Max: 99%
CPU Usage Stat. Time : 2014-05-11  22:55:47
CPU utilization for five seconds: 68%: one minute: 68%: five minutes: 70%
Max CPU Usage Stat. Time : 2014-05-11 21:37:56.

TaskName             CPU  Runtime(CPU Tick High/Tick Low)  Task Explanation
VIDL                 32%         0/4cace800       DOPRA IDLE
OS                   31%         0/4a4780c0       Operation System
FTS                   9%         0/1956d4a1       FTS                                              //ARP攻击会影响该数值
XSTP                  9%         0/18f5a22a       XSTP AGENT
处理过程
VRRP的主备设备上同时配置防攻击策略:

#
cpu-defend policy policy1
auto-defend enable
auto-defend attack-packet sample 5
auto-defend threshold 30
auto-defend trace-type source-mac source-ip
auto-defend protocol arp
auto-port-defend enable 
auto-defend action deny
undo auto-defend protocol icmp dhcp igmp ttl-expired tcp telnet
auto-defend whitelist 1 interface GigabitEthernet1/0/47    //设备间Eth-trunk 口放行,不配置防攻击
auto-defend whitelist 2 interface GigabitEthernet0/0/47     //设备间Eth-trunk 口放行,不配置防攻击        
auto-defend whitelist 3 interface GigabitEthernet0/1/1       //设备上行口放行,不配置防攻击
#                                                                             
cpu-defend-policy policy1 global                                              
#
根因
1、Handreamnet接入交换机收到的target IP是自己的ARP request时,不仅回应一个ARP replay,还会向回应对象再始发一个ARP request:

如图,测试仪模拟汇聚交换机发送target IP是20.61.253.122的ARP request,


若Handreamnet受激触发的这个ARP请求得不到及时响应,该接入交换机会先后发送3个同样的ARP request.

2、Handreamnet接入交换机收到的target IP不是自己,而是同一个网段的ARP request时,不回应ARP replay,但会向这个请求者再始发一个ARP request:

如图,测试仪模拟汇聚交换机发送target IP是20.61.253.122的ARP request,


若Handreamnet受激触发的这个ARP请求得不到及时响应,该接入交换机会先后发送3个同样的ARP request;

3、从上图可以看到,接入交换机Handeamnet同时会向VRRP的Virtual IP地址20.61.253.254发送3个对应的ARP request.

在网络topo不稳定时,由于汇聚交换机S5700处于ARP老化阶段,频繁的ARP刷新流程对应handreamnet特殊的处理方式,导致了汇聚交换机收到很多ARP request报文,因此会出现ARP升高的现象。
 
建议与总结
遇到ARP攻击时,可以采用类似配置,进行攻击溯源,同时放行重要接口。

END