亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 路由器 > 路由器設(shè)置 > 華為路由器 > 華為交換機(jī)如何識(shí)別arp攻擊

      華為交換機(jī)如何識(shí)別arp攻擊

      時(shí)間: 本達(dá)868 分享

      華為交換機(jī)如何識(shí)別arp攻擊

        局域網(wǎng)中經(jīng)常會(huì)發(fā)生ARP攻擊,整個(gè)網(wǎng)絡(luò)擁塞、緩慢、怨言四起,作為網(wǎng)絡(luò)管理員你除了重啟之外還需要識(shí)別ARP攻擊,下面是學(xué)習(xí)啦小編給大家整理的一些有關(guān)華為交換機(jī)識(shí)別arp攻擊的方法,希望對(duì)大家有幫助!

        華為交換機(jī)識(shí)別arp攻擊的方法

        1、 網(wǎng)絡(luò)主機(jī)側(cè)攻擊識(shí)別

        1.1 Windows系統(tǒng)

        如遇到主機(jī)不能與網(wǎng)關(guān)正常通信時(shí),則在DOS界面下,輸入arp –a命令,查看本主機(jī)的ARP緩存表:

        C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic

        核對(duì)ARP緩存表中,網(wǎng)關(guān)的MAC地址是否與實(shí)際網(wǎng)關(guān)MAC一致。如不一致,說(shuō)明受到ARP欺騙攻擊,攻擊主機(jī)的MAC地址即為00-00-00-00-00-01。有時(shí),在查看ARP表時(shí)會(huì)發(fā)現(xiàn)有相同MAC對(duì)應(yīng)多個(gè)IP的情況,此現(xiàn)象一般也是網(wǎng)絡(luò)中存在ARP攻擊所致:

        C:\Documents and Settings\p94997>arp -aInterface: 192.168.16.2 --- 0x2Internet Address Physical Address Type192.168.16.1 00-00-00-00-00-01 dynamic192.168.16.2 00-00-00-00-00-02dynamic192.168.16.3 00-00-00-00-00-02 dynamic192.168.16.4 00-00-00-00-00-02 dynamic

        1.2 UNIX系統(tǒng)

        同理,網(wǎng)絡(luò)不通時(shí)查看主機(jī)的ARP緩存

        2、 網(wǎng)關(guān)設(shè)備側(cè)攻擊識(shí)別

        如發(fā)現(xiàn)網(wǎng)關(guān)設(shè)備(通常都為三層交換機(jī))下掛的主機(jī)存在ping網(wǎng)關(guān)不通,無(wú)法訪問(wèn)外網(wǎng)的情況,則可通過(guò)以下步驟來(lái)判斷是否受到ARP攻擊:

        2.1 查看設(shè)備日志

        <S3528>display logbuffer

        Logging Buffer Configuration and contents:enabled

        allowed max buffer size : 1024

        actual buffer size : 256

        channel number : 4 , channel name : logbuffer

        dropped messages : 0

        overwrote messages : 13003

        current messages : 256

        %May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

        llision detected, sourced by 00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

        48-573b on Ethernet0/10 of VLAN10

        //ARP沖突告警:檢測(cè)到IP地址10.254.200.169沖突,引起沖突的MAC地址為00b0-d0d1-5668

        (從Ethernet0/8 VLAN10學(xué)習(xí)到)和0030-6e48-573b(從Ethernet0/10 VLAN10學(xué)習(xí)到)

        %May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

        llision detected, sourced by 0030-6e48-573b on Ethernet0/10 of VLAN10 and 00b0-d

        0d1-5668on Ethernet0/8 of VLAN10

        //ARP沖突告警:檢測(cè)到IP地址10.254.200.169沖突,引起沖突的MAC地址為00b0-d0d1-5668 (從

        Ethernet0/8 VLAN10學(xué)習(xí)到)和0030-6e48-573b(從Ethernet0/10 VLAN10學(xué)習(xí)到)

        %May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

        llision detected, sourced by00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

        48-573b on Ethernet0/10 of VLAN10

        //ARP沖突告警:檢測(cè)到IP地址10.254.200.169沖突,引起沖突的MAC地址為00b0-d0d1-5668 (從

        Ethernet0/8 VLAN10學(xué)習(xí)到)和0030-6e48-573b(從Ethernet0/10 VLAN10學(xué)習(xí)到)

        %May 4 11:54:56 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.170 co

        llision detected, sourced by 0030-6e48-47d3 on Ethernet0/8 of VLAN10 and 00b0-d0

        d1-5668on Ethernet0/8 of VLAN10

        //ARP沖突告警:檢測(cè)到IP地址10.254.200.170沖突,引起沖突的MAC地址為00b0-d0d1-5668 (從

        Ethernet0/8 VLAN10學(xué)習(xí)到)和0030-6e48-573b(從Ethernet0/10 VLAN10學(xué)習(xí)到)

        查看日志發(fā)現(xiàn)有大量密集的IP地址沖突告警,發(fā)生沖突的IP可能在變化(如10.254.200.169

        與10.254.200.170),但是發(fā)生沖突的某個(gè)MAC地址(00b0-d0d1-5668)始終不變,則可判

        定存在ARP攻擊,須查出攻擊主機(jī)(mac:00b0-d0d1-5668)加以處理。

        2.2 查看設(shè)備的ARP表

        <S8508>display arp

        Type: S-Static D-Dynamic

        IP Address MAC Address VLAN ID Port Name Aging Type

        10.175.2.161 0011-253e-5bee100 Ethernet0/1/51 D

        10.175.2.165 0011-253e-5bee100 Ethernet0/1/5 2 D

        10.175.2.166 0011-253e-5bee100 Ethernet0/1/5 2 D

        10.175.2.167 0011-253e-5bee100 Ethernet0/1/5 2 D

        10.175.2.168 0011-253e-5bee100 Ethernet0/1/5 3 D

        10.175.2.169 0011-253e-5bee100 Ethernet0/1/5 3 D

        10.175.2.170 0011-253e-5bee 100 Ethernet0/1/5 3 D

        10.175.2.176 0011-253e-5bee100 Ethernet0/1/5 5 D

        10.175.2.177 0011-253e-5bee100 Ethernet0/1/5 5 D

        10.175.2.181 0011-253e-5bee 100 Ethernet0/1/5 7 D

        10.175.2.254 0011-253e-5bee100 Ethernet0/1/5 8 D

        10.175.2.5 0011-253e-5bee100 Ethernet0/1/5 9 D

        10.175.2.6 0011-253e-5bee 100 Ethernet0/1/5 9 D

        10.175.2.11 0011-253e-5bee100 Ethernet0/1/5 10 D

        10.175.2.12 0011-253e-5bee100 Ethernet0/1/5 10 D

        10.175.2.120 0011-110c-43dc 100 Ethernet0/1/1 10 D

        10.175.2.17 0011-253e-5bee100 Ethernet0/1/5 11 D

        10.175.2.15 0030-6e06-311e 100 Ethernet1/1/24 11 D

        10.175.2.18 0011-253e-5bee 100 Ethernet0/1/5 11 D

        10.175.2.19 0011-253e-5bee100 Ethernet0/1/5 11 D

        10.175.2.95 0040-0515-0b7b 100 Ethernet0/1/1 11 D

        10.175.2.88 00d0-c958-6395 100 Ethernet1/1/47 13 D

        10.175.2.84 00d0-c958-6455 100 Ethernet0/1/32 14 D

        …………

        如果發(fā)現(xiàn)存在多個(gè)IP(一般這些IP都同屬一個(gè)網(wǎng)段)對(duì)應(yīng)一個(gè)MAC、且對(duì)應(yīng)的交換機(jī)端口為下行端口的現(xiàn)象,也可判定網(wǎng)絡(luò)中存在ARP攻擊,需查找出攻擊主機(jī)(mac:0011-253e-5bee)做相應(yīng)處理。

        2.3 在S6500上查看ARP攻擊

        進(jìn)入隱含模式

        [6505B]en

        [6505B-testdiag]catch rxtx by sa slot 0 // 打開(kāi)開(kāi)關(guān)統(tǒng)計(jì)上送CPU的報(bào)文

        Slot 0: information of Module RxTx

        [6505B-testdiag]catch rxtx end slot 0 //間隔10s后再敲以下命令關(guān)閉并顯示結(jié)果

        Slot 0: information of Module RxTx

        The Catch Result of SA is :

        e02101177a -------- 738

        46148b0c9 -------- 212

        e04c9925c6 -------- 392

        1617b4294d -------- 76

        e019094b15 -------- 9

        1422c3261 -------- 820

        a0c9ef9ba1 -------- 1152

        c76a028f0 -------- 89

        4619a4162 -------- 1190

        461451295 -------- 853

        1a4d664c2b -------- 423

        16ec6c792 -------- 702

        e04c4a6421 -------- 27

        aeb534b32 -------- 138

        00e0a004dd95 -------- 759

        此方法可快速定位arp攻擊主機(jī),10s內(nèi)上送CPU報(bào)文個(gè)數(shù)超過(guò)1000的mac都比較異常,應(yīng)將此類mac對(duì)應(yīng)的主機(jī)查找出來(lái)加以處理。

        2.4 查找攻擊主機(jī)

        首先在網(wǎng)關(guān)交換機(jī)上查找攻擊主機(jī)的MAC地址:

        <S3528>display mac 00b0-d0d1-5668

        MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

        00b0-d0d1-566810 Learned Ethernet0/8 230

        判斷該mac地址是從Ethernet0/8端口學(xué)習(xí)到的,如果該端口是直接接主機(jī)的,則其下掛主機(jī)就是攻擊主機(jī);如果Ethernet0/8端口下還級(jí)聯(lián)了交換機(jī),則登陸下層交換機(jī)繼續(xù)查找,直至找到該主機(jī)為止:

        <nS2016> display mac 00b0-d0d1-5668

        MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

        00b0-d0d1-566810 Learned Ethernet0/13 200

        END

      看了“華為交換機(jī)如何識(shí)別arp攻擊”的人還看了

      1.關(guān)于網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊的介紹

      2.華為交換機(jī)配置命令有哪些

      3.華為quidway交換機(jī)配置命令有哪些

      4.如何配置華為單臂路由

      5.華為單臂路由怎么配置

      6.華為ac服務(wù)集怎么配置

      1492629