交换机上接入的终端存在arp攻击行为。
先解释下arp共计的意义:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
了解了原理后,咱做如下操作可以搞定
可以在交换机上配置:
1.在对应接口上启用arp报文检查功能。(这里使用Eth0/0/1接口做示范)
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] arp anti-attack check user-bind enable
[Quidway-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan
2.配置报文丢弃告警功能
Eth0/0/1接口配置ARP报文不匹配绑定表而丢弃的告警阈值。
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] arp anti-attack check user-bind alarm enable
[Quidway-Ethernet0/0/1] arp anti-attack check user-bind alarm threshold 80
3.#配置静态绑定表项。
[Quidway] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface Ethernet 0/0/1 vlan 50
这样下来,arp攻击就无效了,交换机只按照静态绑定的地址去转发。没有绑定终端ip和mac的主机无法通讯。
你可以过段时间去查看交换机报文的丢弃情况,就知道在哪个接口下产生的arp攻击了。。再顺藤摸瓜找到对应PC去杀个毒吧。。搞定。
