Simone
可以通过查看ARP报文的CPCAR统计情况确认设备是否受到攻击。
display cpu-defend arp-request statistics all
display cpu-defend arp-reply statistics all
通过上述命令参看ARP报文的统计信息,如果Drop数值很多,并且持续增长,增长较快,基本可以确认设备受到ARP攻击了。通常情况下,以arp-request报文的攻击居多。
通常情况下,以arp-request报文的攻击居多。
这种情况下,可以适当调整报文的CPCAR值,一般放大到128Kbps即可,还需要整体考虑CPU的利用率情况。CPCAR值放大了,上送CPU的报文就可多了,肯定会增加CPU的负担。
在受到攻击的情况下,关键还是要确认攻击源。可以通过抓包或打开调试开关查看攻击源,然后配置黑名单将攻击源屏蔽。
调试手段:
打开ARP的调试开关,debugging arp packet,一段时间后关闭,如果调试信息太多,可以打开10秒左右关闭,最长30秒即可。
从调试信息或抓包中确认,那个源MAC地址发送的ARP报文过多,该MAC地址是否是正常用户。如果不是,可以配置黑名单将该MAC地址过滤。
