ARP attack导致网络出口中断故障的解决.pdfVIP

第 l4 卷第 5 期 平 顶 山 工 学 院 学 报 VoI .l4 No .5 2005 年 9 月 JournaI of Pingdingshan Institute of TechnoIogy Sep .2005 文章编号：l67l - 9662（2005）05 - 0028 - 03 ARP attack 导致网络出口中断故障的解决 闫 涛l，2 （l . 平顶山工学院，河南 平顶山 46700l；2 . 武汉大学电气工程学院，湖北 武汉 430072） 摘 要： 通过对一个网络中断现象的分析处理，提出了网络管理中业务地址、设备管理地址、用户地址 的合理结构。 关键词： 网络中断；ARP attack；管理结构 中图分类号： TP393 .07 文献标识码：A l 网络基本情况 平顶山工学院新校区网络 2004 年 9 月完成扩容并正式运行，新校区网络使用华为 Ouidway 85l2 为 核心，连接新校区 l3 个教学楼和东校区 7 个楼宇，连接信息点 l 600 多个，上网计算机数量 2 400 余台， 校园网内部时均在线用户 500 余人，出口流量：出流量 90 .8M，入流量 37 .4M，学院全网部署了 802 .lX 的 认证。自 2005 年 l 月以来，发现学院网络用户访问外网时不定时出现持续 l00 s 左右的中断，不需要处 理即可自行恢复，出现频率为 3 次 / d。为此曾多次诊断，并对网络设备和防火墙设备进行 IOS 升级和数 据配置优化，均未彻底解决问题，并且在学院开学后，瞬断的频率提高至 20 次 / d，严重影响了学院网络 的使用。 2 故障分析 经抓包分析，确定为网络的出口防火墙进行 ARP 攻击所致。现场诊断，发现当出现瞬断现象时，校 园网的核心交换机 S85l2 的日志中正好有相应告警。告警信息如下： % Feb 27 06：43：03 2005 hncj - huawei85l2 DIAGCLI / 2 / DIAGCLI LOG：SIot = 4； Detect ARP attack from 0090 - fb0l - cceb，Remove it successfuIIy！ % Feb 27 06：46：l9 2005 hncj - huawei85l2 DIAGCLI / 2 / DIAGCLI LOG：SIot = 4； Undo attack protection from 0090 - fb0l - cceb . MAC 地址 0090 - fb0l - cceb 是防火墙的内网接口，此接口与 S85l2 端口 GigabitEthernet4 / l / 2 连接。 查看 S85l2 的端口 GigabitEthernet4 / l / 2 收到的报文，发现大量来自 0090 - fb0l - cceb 的 ARP 请求报文。 ［hncj - huawei85l2 - testdiag］ rxpkt sIot 4 gue 0 ［hncj - huawei85l2 - testdiag］ ： !0 .25l28732l hncj - huawei85l2 DEV / 8 / DEV DBG Receive packet ： PhysicaIPortNo = 4，PacketLen =