ARP网关欺骗攻击导致视频图像不定时中断

发布时间:  2016-12-21 浏览次数:  259 下载次数:  0
问题描述

XX医院网络维护人员反馈视频监控图像无法调取。初步了解了其下连前端情况,并没有出现带宽不足的链路。

告警信息

通过采集核心交换机S5700日志看到有大量如下信息:

 %%01ARP/4/ARP_DUPLICATE_IPADDR(l)[7]:Received an ARP packet with a duplicate IP address from the interface. IpAddress=192.168.1.1,InterfaceName=Vlanif11, MacAddress=0069-0747-6880

很明显有终端与网关发生IP冲突。

 

处理过程
通过命令确认MAC:0069-0747-6880从核心交换机那个端口学习到:

[S5700]dis arp | in 192.168.1.1
IP ADDRESS      MAC ADDRESS  EXPIRE(M) TYPE INTERFACE      VPN-INSTANCE       
                                       VLAN 
------------------------------------------------------------------------------
192.168.1.1     0069-0747-6880  19     D-0  GE0/0/18
------------------------------------------------------------------------------
 
顺着GE0/0/18端口一路查找,最终锁定MAC为0069-0747-6880终端;当即拔掉网线,视频网络图像恢复正常。
建议与总结

建议在网关交换机上开启ARP防网关冲突功能

命令:arp anti-attack gateway-duplicate enable

END