故障描述
交换机产品S9300作为网关,局域网内用户时通时断,网络设备会经常脱管,网关设备会打印大量地址冲突的告警。
故障分析
1、查看日志信息:
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根据日志信息记录的攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口,通过网络进一步排查,定位出攻击源,为PC中毒所致。PC假冒网关向同网段设备请求IP。
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根据日志信息记录的攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口,通过网络进一步排查,定位出攻击源,为PC中毒所致。PC假冒网关向同网段设备请求IP。
处理过程
对用户PC杀毒,网关开启防假冒网关攻击功能。
在S9300上配置防网关冲突功能arp anti-attack gateway-duplicate enable,ARP网关冲突防攻击功能使能后,系统生成ARP防攻击表项,在后续一段时间内对收到具有相同源MAC地址的报文直接丢弃,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。
建议/总结
攻击者设置主机静态IP地址时,把主机地址设置成网关地址。在主机设置静态IP地址后,会发送免费ARP报文在局域网内进行通告,该局域网内其他PC机收到此报文后,会修改自身的网关ARP表项,修改网关MAC为攻击者MAC,导致该局域网内所有用户无法正常使用网络,网络中断。当攻击者频繁发送源IP地址为网关地址的免费ARP报文,即使网关设备收到此报文能够通知局域网内正常主机把网关抢回,但是主机网关MAC地址频繁切换也会导致网络中断。