博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
AR2220 通过cpu-defend policy处理大量大量arp广播的小技巧
阅读量:5158 次
发布时间:2019-06-13

本文共 2082 字,大约阅读时间需要 6 分钟。

今天发现有局域网里面有几台电脑中毒了,在大量的发送ARP报文,导致设备cpu利用率很高。

 

一、查看display cpu-defend statistics 发现arp-reply  arp-request 报文drop很很多包。

二、打开auto-defend 功能,开启自动发现攻击源

<AR2220>display auto-defend configuration 

 -----------------------------------------------------------------------
 Name  : xdhg
 Related slot : <0>
 auto-defend                 : enable
 auto-defend threshold       : 128 (pps)
 auto-defend alarm           : enable
 auto-defend alarm threshold : 128 (pps)
 auto-defend trace-type      : source-mac source-portvlan source-ip 
 auto-defend protocol        : ARP ICMP DHCP IGMP TTLONE TCP TELNET 
 ----------------------------------------------------------------------

查看信息

发现192.168.0.36 mac为4016-9fef-f2b3的电脑在发arp攻击包

三、开启cpu-defend 黑名单

L2 ACL 4000, 3 rules

Acl's step is 5
 rule 5 permit l2-protocol arp source-mac 4016-9fe7-f2b3(979719 matches)
 rule 10 permit l2-protocol arp source-mac 1cfa-681c-47e9(359743 matches)
 rule 15 permit l2-protocol arp source-mac 3883-4571-183f(51538 matches)

<AR2220>display cpu-defend policy xdhg

 Related slot : <0>
 BlackList Status : 
   Slot<0> : Success
 Configuration : 
   Blacklist 1 ACL number : 4000
   Deny packet-type igmp
   Rate-limit all-packets : 1500(pps)(default)

在cpu-defend的策略里面添加黑名单,并在全局下面启用,启用cpu黑名单之后,路由器不会吧acl里面mac地址发送的arp报文上传到cpu处理,而是直接敷略,这样路由器也不会学习到他们的arp信息,这样的话,为了让他们正常通信还需要通过手动的方式添加静态arp

<AR2220>display arp static

IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE 
                                          VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
192.168.0.106   1cfa-681c-47e9            S--
192.168.0.36    4016-9fe7-f2b3            S--
192.168.0.237   3883-4571-183f            S--
------------------------------------------------------------------------------
Total:3         Dynamic:0       Static:3     Interface:0    

<AR2220>display cpu-defend statistics

-----------------------------------------------------------------------
Packet Type               Pass Packets        Drop Packets
-----------------------------------------------------------------------
8021X                                0                   0 
arp-miss                             0                   0 
arp-reply                            0                   0 
arp-request                        116                 0 

这样处理之后,就没有太多的arp广播报文了,而且电脑也可以正常通信哈

个人发现的小技巧,不知道是不是真的就这么回事了,也请华为的专家看看,这样能否行呢?谢谢

 

 

原文来自:

转载于:https://www.cnblogs.com/zhuimengle/p/5975126.html

你可能感兴趣的文章
移植UE4的Spline与SplineMesh组件到Unity5
查看>>
leetcode 849. 到最近的人的最大距离(Maximize Distance to Closest Person)
查看>>
正则表达式-深入浅出
查看>>
Docker Compose部署lnmp
查看>>
【UOJ#77】A+B Problem
查看>>
【LuoguP5328】[ZJOI2019]浙江省选
查看>>
MeteoInfoLab脚本示例:计算垂直螺旋度
查看>>
Visual Studio的Debugger Visualizers
查看>>
《大教堂与集市》读后感
查看>>
[RabbitMQ]Windows环境下rabbitmqclt(Command Line Tools)出现Erlang distribution failed错误的解决方法...
查看>>
创业这三年@各种奇遇
查看>>
正确配置调试world wind on vs2008
查看>>
纯css实现3D动画
查看>>
几种按键消抖方案的verilog描述
查看>>
四则运算 Day2
查看>>
使用SpringBoot生成项目
查看>>
C++ __super关键词用法
查看>>
FTP上传及下载
查看>>
作业5 四则运算 测试与封装 5.1
查看>>
实验7
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2024-11-20 07:04:15   当前IP: 18.118.95.164   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我