所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S7700, S9700 V200R010C00 日志参考

本文档介绍了设备支持的日志,内容包含日志信息、日志含义、日志参数、日志原因、日志处理。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
SECE/4/ARPMISS

SECE/4/ARPMISS

日志信息

SECE/4/ARPMISS: Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=[STRING], SourceIP=[STRING], AttackPackets=[ULONG] packets per second)

日志含义

超过了整机ARP Miss限速值。

日志参数

参数名称 参数含义

[STRING]

接口名。

[STRING]

攻击报文的源ip地址。

[ULONG]

攻击源报文速率(单位pps)。

可能原因

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。当ARP Miss消息速率超过整机ARP Miss限速值时,设备会产生日志。

处理步骤

  1. 执行命令reset cpu-defend statistics,清除上送CPU的ARP Miss报文统计计数。
  2. 等待一段时间(1分钟)后,执行命令display cpu-defend statistics all,查看这段时间内上送CPU的ARP Miss报文数量。查看通过和丢弃的报文数量是否较大:

    • 如果是,请执行步骤3。

    • 如果不是,检查网络安全后,可以执行命令info-center source SECE channel 4 log state off,配置不发送SECE日志信息。

  3. 根据日志信息里提供的IP地址,找出攻击者。

    建议对攻击者进行排查是否中毒:

    • 如果是,建议杀毒,也可以配置黑名单或黑洞MAC对其报文进行丢弃处理。

    • 如果不是,请执行步骤4。

  4. 执行命令display arp anti-attack configuration arpmiss-rate-limit,查看全局ARP Miss源抑制配置信息。
  5. 执行命令arp-miss anti-attack rate-limit packet packet-number [ interval interval-value ],根据现网修改全局ARP Miss消息限速的限速值和限速时间。
  6. 如果日志还是频繁产生,请收集日志信息和配置信息,并联系技术支持人员。设备诊断信息可以通过display diagnostic-information命令收集。
翻译
下载文档
更新时间:2019-04-18

文档编号:EDOC1000141458

浏览量:61744

下载量:267

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页