交换机网络防攻击及故障处理指导书

3.3 固定源IP地址或源MAC的ARP Miss攻击

3.3.1 攻击原理

当交换机需要转发三层报文时，如果目的地址是和其直连的，且在设备上没有目的地址的ARP表项，就会触发一个ARP Miss消息，由设备发送ARP请求到目的，以便学习ARP，当学习到ARP后，报文便可以直接转发到目的地址。

大量的网段扫描报文会导致大量的ARP Miss消息，导致交换机的资源浪费在处理ARP Miss消息上，影响交换机对其他业务的处理，形成扫描攻击。所以减少ARP Miss消息是解决扫描攻击的根本。

3.3.2 攻击现象

网络设备CPU占有率较高，部分ARP无法正常学习，PING有时延、丢包或不通的现象，业务方面会发生用户掉线、用户上网慢、设备脱管、甚至业务中断等现象。

3.3.3 典型问题

如图，S9306连接用户，攻击者和用户分别处于两个不同的网段，攻击者进行网段扫描，发送源IP为10.0.0.2，目的IP地址为10.0.1.2~10.0.1.254。

10.0.0.1/24 S9306

10.0.1.1/24

用户

Attacker

问题原因：扫描网段触发大量的ARP Miss消息，设备CPU一直忙于处理ARP Miss，无法处理其它业务。

解决方法：配置ARP Miss限速，针对源IP进行限速，当单位时间内超过一定数量可以自动阻断攻击源。

3.3.4 定位方法

1. 清除上送CPU的ARP Miss报文统计计数

reset cpu-defend statistics packet-type arp-miss all

2. 等待一段时间（1分钟），查看这段时间内上送CPU的ARP Miss数量

[Switch]display cpu-defend statistics packet-type arp-miss slot 2 Statistics on slot 2:

----------------------------------------------------------------------

Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)

----------------------------------------------------------------------

Arp-miss 40800 35768 600 526 ----------------------------------------------------------------------

3. 查看通过和丢弃的报文数量，如果上送或丢弃的报文数量较大，则可认为是ARP

Miss攻击

3.3.5 配置指导

首先判断设备是否需要处理ARP Miss报文，如果完全不需要处理，则配置直接丢弃ARP Miss的报文；

如果需要处理，则可配置减少上送CPU的ARP Miss报文数量； 另外，可以配置基于用户的ARP Miss限速 配置直接丢弃ARP Miss报文；

1、 创建一个CPU-Defend 策略 test；

[Switch]cpu-defend policy test

2、 在该Policy下配置丢弃ARP Miss的报文；

[Switch-cpu-defend-policy- test]deny packet-type arp-miss

3、 将该策略应用到对应的单板或全局；

[Switch -slot-2]cpu-defend-policy test [Switch]cpu-defend-policy test global

4、 配置基于用户的ARP Miss限速，例如配置每用户每秒的ARP Miss报文不超过3个

[Switch]arp-miss speed-limit source-ip maximum 3

3.4 目的IP是设备地址的IP报文攻击

3.4.1 攻击原理

攻击者向网络设备的接口地址或环回地址发送大量IP报文，这些报文需要上网络设备的CPU处理，耗费网络设备的CPU和内存资源。更有甚者，会影响设CPU对PING、telnet等服务应用和BGP、LDP等协议报文的处理。

3.4.2 攻击现象

CPU占用率高，PING网关出现丢包和不通的现象，telnet很慢，严重情况下出现BGP、LDP等路由协议单薄IP报文无法及时处理，协议异常。

3.4.3 典型问题

S9300 BGP邻居不稳定。

问题原因：大量的BGP协议报文攻击。

解决方法：关掉ftp服务。

3.4.4 定位方法

1. 清除上送CPU的fib-hit报文统计计数

reset cpu-defend statistics packet-type fib-hit all

2. 等待一段时间（1分钟），查看这段时间内上送CPU的fib-hit数量

[Switch]display cpu-defend statistics packet-type fib-hit slot 2 Statistics on slot 2:

----------------------------------------------------------------------

Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets) ----------------------------------------------------------------------

fib-hit 45682 24562 536 324 ----------------------------------------------------------------------

3. 查看通过和丢弃的报文数量，如果上送或丢弃的报文数量较大，则可认为是

fib-hit（目的IP是设备地址的IP报文攻击）攻击

3.4.5 配置指导

可配置减少上送CPU的fib-hit报文数量； 1、 创建一个CPU-Defend 策略 fibhit；

[Switch]cpu-defend policy fibhit

2、 配置该Policy下fib-hit报文上送速率为64K bps；

[Switch-cpu-defend-policy- fibhit]car packet-type fib-hit 64

3、 将该策略应用到对应的单板或全局；

[Switch -slot-2]cpu-defend-policy fibhit [Switch]cpu-defend-policy fibhit global

4 流量攻击

4.1 DDOS流量攻击

4.1.1 攻击原理

DoS攻击，即拒绝服务攻击（DoS，Denial of Service），是指向设备发送大量的连接请求，占用设备本身的资源，严重的情况会造成设备瘫机，一般情况下也会使设备的功能无法正常运行。因为主要是针对服务器的，目的是使服务器拒绝合法用户的请求，所以叫拒绝服务攻击。

随着攻击技术的发展，DoS攻击也出现了升级，攻击者控制多台主机同时发起DoS攻

击，也就是所谓的分布式拒绝服务攻击（DDoS，Distributed Denial of Service）攻击，它的规模更大，破坏性更强。

4.1.2 攻击现象

攻击通常针对网络设备下挂的服务器。产生DDoS攻击后，网络设备的上行端口和下行端口会收到大量的IP报文，有可能会达到上行端口或者下行端口的最大带宽。如果攻击流量达到下行端口的最大带宽，则该端口下挂的用户上网速度很慢或者根本无法上网；如果攻击流量达到上行端口的最大带宽，则该网络设备下挂的所有用户都会受到影响。

4.1.3 典型问题

如图，S93下用户上网掉线，且设备经常脱管。

问题原因：S93下面连接A7450设备的端口流量已经达到满带宽，所以基本可以判定应该是DDOS攻击使得带宽占满导致了正常的用户的带宽不能得到保证，也就出现了业务和网管不断闪断的问题。

解决方法：进行端口抓包，找出攻击报文的特征，阻断攻击源，针对攻击报文下发ACL规则过滤对应的攻击报文。