ARP攻击处理方法

找到mac地址

Dis arp | in ip地址

Dis arp | in 上面找到的mac地址

在汇聚上发现有大量ip对应相同的mac地址,此现象为arp攻击。

arp

根据这个mac地址登录到各机柜交换机上用 dis mac-add xxxx 命令查找 此mac地址是从哪个端口学来的。 有时候发现此mac地址是trunk口,这说明地址是从其他交换机上学来的,不是自身学来的。因此要一个个交换机的找,直到找到是接入端口学来的为止。

找到以后拔线处理

由于受到arp攻击,汇聚上的arp表里所对应的ip和mac地址其实是不正确的。等待arp表老化更新需要一定的时间(上图中EXPIRE(M)就是对应的老化时间),我们可以手动刷新arp表。比如vlan206 受到arp攻击,我们只刷新vlan206的arp表

刷新以后等待交换机建立正确的arp映射表即可

删除接口VLANIF10的ARP映射表中的动态表项

<HUAWEI> reset arp interface vlanif 206

arp刷新命令参考

千万不要清空所有的arp表项!!!!

添加新评论