3,582
社区成员
发帖
与我相关
我的任务
分享主机不定时掉线 arp表项中静态网关丢失
网络拓扑图如下
汇聚HWS7703--G2/0/3--------G1/0/28-接入H3C5560---1. 主机
2. 监控NVR
3. 小交换---主机
一、汇聚交换机上做了一些ARP防攻击策略 :arp anti-attack gateway-duplicate enable
arp anti-attack gratuitous-arp drop
arp anti-attack packet-check sender-mac
arp anti-attack check user-bind alarm threshold 20
mac-address update arp
arp-miss speed-limit source-ip maximum 10
查看汇聚日志,有从G2/0/3接口进来的关于ARP的告警信息
二、接入交换机上的配置只有划分两个VLAN,上行接口TRUNK放行这两个VLAN
三、接入主机故障现象:ping 汇聚网关,局域网内部分主机掉线很频繁,差不多10来分钟掉一次,不做任何操作情况下,大概3、4分钟
能够自动重新连上。如果一出现time out 马上重启网卡或者cmd 里面静态绑定下网关,则可以马上恢复和网关的通信。在time out的时候,查看本主机的ARP表,发现里面没有网关的ARP表项。静态绑定网关后,ping主机差不多十几分钟会再次掉线,掉线时网关的ARP表项消失,等它三四分钟后恢复通信后,arp -a 查看,有了网关的arp表项,动态的。周而复始。
汇聚的ARP表从G2/0/3接口学习到的IP ,imcomplete的均非此接入交换机下的真实IP
抓包软件抓包情况如下
26.35.33.77为本主机IP
26.35.33.254为汇聚网关IP
其他IP地址均不是本局域网内主机的IP地址
而且本主机ping网关time out 的时候,可以发现本主机26.35.33.77发出很多请求网关的request,但是均得不到网关的回应。但同时
本主机却收到大量网关广播请求无效IP的广播。此现象是否可以判断为ARP泛洪攻击?怎么防御?
汇聚HWS7703--G2/0/3--------G1/0/28-接入H3C5560---1. 主机
2. 监控NVR
3. 小交换---主机
一、汇聚交换机上做了一些ARP防攻击策略 :arp anti-attack gateway-duplicate enable
arp anti-attack gratuitous-arp drop
arp anti-attack packet-check sender-mac
arp anti-attack check user-bind alarm threshold 20
mac-address update arp
arp-miss speed-limit source-ip maximum 10
查看汇聚日志,有从G2/0/3接口进来的关于ARP的告警信息
二、接入交换机上的配置只有划分两个VLAN,上行接口TRUNK放行这两个VLAN
三、接入主机故障现象:ping 汇聚网关,局域网内部分主机掉线很频繁,差不多10来分钟掉一次,不做任何操作情况下,大概3、4分钟
能够自动重新连上。如果一出现time out 马上重启网卡或者cmd 里面静态绑定下网关,则可以马上恢复和网关的通信。在time out的时候,查看本主机的ARP表,发现里面没有网关的ARP表项。静态绑定网关后,ping主机差不多十几分钟会再次掉线,掉线时网关的ARP表项消失,等它三四分钟后恢复通信后,arp -a 查看,有了网关的arp表项,动态的。周而复始。
汇聚的ARP表从G2/0/3接口学习到的IP ,imcomplete的均非此接入交换机下的真实IP
抓包软件抓包情况如下
26.35.33.77为本主机IP
26.35.33.254为汇聚网关IP
其他IP地址均不是本局域网内主机的IP地址
而且本主机ping网关time out 的时候,可以发现本主机26.35.33.77发出很多请求网关的request,但是均得不到网关的回应。但同时
本主机却收到大量网关广播请求无效IP的广播。此现象是否可以判断为ARP泛洪攻击?怎么防御?
...全文
请发表友善的回复…
发表回复
海一样浪。 2022-07-11
- 打赏
- 举报
大概情况差不多,找到问题原因了吗,求解决
