交换机攻防见招拆招

1 S系列交换机攻击处理

如何确定攻击类型

当设备遭受攻击时，通常伴随着如下现象：

l 用户无法获取ARP。

l 用户上线成功率较低。

l 用户无法访问网络。

当大量用户或固定某个端口下的所有用户出现上述现象时，可以先通过如下定位手段分析是否为攻击问题。

步骤 1 执行命令display cp u-usage查看设备CPU占用率的统计信息，CPU Usage表示的是CPU占用率，TaskName表示的是设备当前正在运行的任务名称。

如果CPU利用率持续较高，并且bcmRX、FTS、SOCK或者VPR任务过高（通常协议报文攻击会导致这些任务过高），则较大可能是收到的报文过多，接下来需要执行步骤2继续判断设备收到的报文类型。

一般情况下，交换机长时间运行时CPU占用率不超过80%，短时间内CPU占用率不超过95%，可认为交换机状态是正常的。

步骤 2 执行命令display cp u-defend statistics all查看相关协议是否有CPCAR丢包、丢包是否多，并确认现网设备是否放大相关协议的CPCAR值。如果CPCAR存在大量丢包，就基本可以确认现网存在攻击，根据丢包的协议，采用相关防攻击措施。具体有哪些常见的丢包协议，请参见表1-1。

表1-1 丢包协议以及相应的防攻击部署手段

Packet Type

可以参考的攻击类型

arp-reply、arp-request

ARP攻击、 TC攻击

arp-miss

ARP-Miss攻击

dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request DHCP攻击

icmp

ICMP攻击

ttl-expired

TTL攻击

tcp

TCP攻击

ospf

OSPF攻击

ssh、telnet

SSH/Telnet攻击

vrrp

VRRP攻击

igmp

IGMP攻击

pim

PIM攻击

V200R003版本以及之后版本支持端口防攻击功能，对于V200R003版本以及之后版本，有可能存在这样的情况：即使Drop计数不再增长，也是有可能存在攻击的。所以对于V200R003版本以及之后版本，还需要继续执行步骤3进一步确认丢包协议。

步骤 3 可以通过如下两种方式确认。

方法一：在诊断视图中执行命令display auto-port-defend statistics [ slot slot -id ]查看是否有对应协议的丢包。具体有哪些常见的丢包协议，请参见表1-2。

表1-2 丢包协议以及相应的防攻击部署手段

Protocol

可以参考的攻击类型

arp-reply、arp-request

ARP攻击、 TC攻击

arp-miss

ARP-Miss攻击

dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request

DHCP攻击

icmp

ICMP攻击

ttl-expired

TTL攻击

tcp

TCP攻击

ospf

OSPF攻击

ssh、telnet

SSH/Telnet攻击

vrrp

VRRP攻击

igmp

IGMP攻击

pim

PIM攻击

方法二：对于历史上曾经触发过端口防攻击也可以通过日志来确定。日志格式如下，其中A ttackProtocol表示的是攻击报文的协议类型。

SECE/4/PORT_ATTACK_OCCUR:Auto port-defend started.(SourceAttackInterface=[STRING], AttackProtocol=[STR ING])

SECE/6/PORT_ATTACK_END:Auto port-defend stop.(SourceAttackInterface=[STRING], AttackProtocol=[STRING]) ----结束

根据攻击类型部署防攻击手段 ARP攻击 ARP泛洪攻击

攻击简介

如下图所示，局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。当网络中出现过多的ARP报文时，会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。另一方面，网络中过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。

现象描述

l 网络设备CPU占有率较高，正常用户不能学习ARP甚至无法上网。

l Ping不通。

l 网络设备不能管理。

定位思路

定位手段

命令行

适用版本形态

查看ARP临时表项

display arp

V100R006C05版本以及之后版本

查看arp-request的CPCAR计数

display cpu-defend statistics packet-type arp-request all

V100R006C05版本以及之后版本

查看攻击溯源结果

display auto-defend attack-source[ slot slot-id ]

V200R003版本以及之后版本

步骤 1 执行命令display ar p查看受影响用户的ARP是否学习不到。

如果MAC ADDRESS字段显示为Incomplete，表示有ARP学习不到，有可能设备遭受ARP攻击。

步骤 2 由于有未学习到的AR P表项，执行命令display cpu-defend statistics packet-type arp-request all查看上送CPU的ARP-Request

报文统计信息，判断设备是否遭受攻击，下述回显发现4号单板上存在大量

ARP-Request报文丢包。

该命令可以查看多次，比如1秒执行一次，查看多次执行的结果。如上显示，如果Drop(Packets)计数增加很快，比如1秒钟Drop上百个，这说明设备正在遭受ARP攻击，上送的ARP报文已经超过了设备配置的CPCAR范围，攻击ARP报文可能已经挤掉了正常ARP报文，则部分ARP可能学习不到。

步骤 3 确认攻击源，通过攻击溯源功能识别攻击源。

首先在系统视图下配置防攻击策略：

[HUAWEI] cpu-defend policy policy1

[HUAWEI-cpu-defend-policy-policy1] auto-defend enable

[HUAWEI-cpu-defend-policy-policy1] auto-defend attack-packet sample 5

[HUAWEI-cpu-defend-policy-policy1] auto-defend threshold 30

[HUAWEI-cpu-defend-policy-policy1] undo auto-defend trace-type source-portvlan

本文来源：https://www.bwwdw.com/article/ysyq.html