AR1200因ARP攻击导致部分用户上网异常

发布时间:  2014-11-23 浏览次数:  722 下载次数:  0
问题描述
AR1200做为外网路由器,经常出现部分用户网络中断。
告警信息
1、查询设备运行日志,发现有大量ARP协议报文因CPU阀值丢弃。
<Huawei>display logbuffer
Sep  9 2014 16:01:55+00:00 Huawei %%01SECE/4/PORT_ATTACK(l)[0]:Port attack occurred.(Slot=MPU, SourceAttackInterface=GigabitEthernet0/0/0, OuterVlan/InnerVlan=0/0, AttackPackets=64 packets per second)
Sep  9 2014 16:01:54+00:00 Huawei %%01DEFD/4/CPCAR_DROP_MPU(l)[1]:Some packets are dropped by cpcar on the MPU. (Packet-type=arp-miss, Drop-Count=770)
Sep  9 2014 16:01:54+00:00 Huawei %%01DEFD/4/CPCAR_DROP_MPU(l)[2]:Some packets are dropped by cpcar on the MPU. (Packet-type=arp-request, Drop-Count=3458)
处理过程
1、怀疑设备内网、存在ARP攻击,配置跟踪溯源功能。配置命令如下:
cpu-defend policy 1
auto-defend enable
auto-defend threshold 40 //可适当调整建议不要太小
auto-defend protocol all
auto-defend trace-type source-ip source-mac source-portvlan
auto-defend alarm enable
#
cpu-defend-policy 1 global          //在全局应用    
cpu-defend-policy 1   
2、使用命令display auto-defend attack-source在网络出现异常时查询设备是否存在攻击。
<Huawei>display auto-defend attack-source
  Attack Source User Table:
  -------------------------------------------------------------------------
      MacAddress       InterfaceName      Vlan:Outer/Inner      TOTAL 
  -------------------------------------------------------------------------
  0cda-4156-cf00   GigabitEthernet0/0/1         0               368    
  1414-4b68-7696   GigabitEthernet0/0/0         0               7152   
  -------------------------------------------------------------------------
  Total: 2

  Attack Source Port Table:
  -----------------------------------------------------
    InterfaceName        Vlan:Outer/Inner       TOTAL  
  -----------------------------------------------------
  GigabitEthernet0/0/1     0                    368   
  GigabitEthernet0/0/0     0                    23472 
  -----------------------------------------------------
  Total: 2

  Attack Source IP Table:
  -------------------------------------
   IPAddress        TOTAL Packets 
  -------------------------------------
  219.133.0.3      368    
  58.119.73.1      7152   
  -------------------------------------  
  Total: 2
<Huawei>
3、发现内网某用户发送攻击报文(外网接口如增涨不大不做考虑),源地址为58.119.73.1,源MAC为1414-4b68-7696,通过用户接入的端口逐层排查该用户接入的交换机端口,找到该接入用户,使用杀毒软件查杀病毒后问题解决。
根因
内网用户因病毒原因,发送大量ARP报文,导致内网用户ARP学习异常,无法正常上网。
建议与总结
AR G3 CPU-defend功能用于限制协议报文上送CPU流量,防止CPU过载而设计的机制,目前AR能够识别的攻击溯源防范的报文类型为ARP、DHCP、ICMP、IGMP、Telnet、TCP和TTL-expired,如在设备日志中有此类协议报文,被大量丢弃,可使用跟踪溯源功能排查攻击源用户。

END