ARP攻击导致的网络故障分析

ARP（
解析协议）
个位于网
中，将IP
解析为对应的
的协议。

ARP
单、易用的优点，
因为其没有任何安全认证机制而容易被攻击者利用。

ARP协议缺陷
ARP协
信任局域网内所有节点的基础上的，它很高效，但却不安全。

它是无状态的协议，不会检查自己是否发过请求包，也不会验证是否是合法的应答，只要收到目标是自己的ARP reply播包，都会接受并缓存。

故障现象
笔者单位办公网是一个局域网，其拓扑如图
中心核心
的交换机，弃。

命令查看核心交换机的使用率，
达
defend
看
的
ARP
■ 辽宁 孙艳
在某天，大量办公网用户不
能上网，Ping网关发现网络
时通时断，且基本状态为断。

故障定位
由于大量办公用户网络
无法Ping通网关，因此笔
者通过display interface
图1 网络拓扑图
图2 告警信息图
投稿信箱：**********************
Trouble Shooting
Drop增长率过大可能是ARP 广播报文在网络物理环路中进行转发，形成ARP广播风暴冲击核心交换机，被交换机丢弃。

单位办公网所有交换机STP使能已经打开，使用diaplay stp brief查看所对所有数据进行抓包分析，发现许多主机不断扫描本网段主机，发送大量目标IP地址不能解析的IP报文，导致核心交换机触发大量ARP -Miss消息，如图4所示。

同时通过抓包统计发现此行为基本15 min发生一次，一台
600个ARP 且此类主机大面积出通过排查发现这些主机均没有安装扫描地址软件，故判断此次网络故障是由病
ARP-Miss攻击。

在核心交换机上部署
主要包括ARP
ARP-Miss消息限
表项严格学习等，以免造成核心交换机CPU负
图3 数据包抓包分析。