交換機(jī)産品S9300作(zuò)為ε>(wèi)網關,局域網內(nèi)用(yòng)戶時(shí)通(tōn∏÷g)時(shí)斷,網絡設備會(huì)經常β♠" 脫管,網關設備會(huì)打印大(dà)量地(dì)址沖突的(de)告警。
ARP/4/ARP_DUPLICATE_IPADDR:♦λReceived an ARP packet with a duplica✔★te IP address from the interface. (I≠pAddress=[IPADDR], Interface' Name=[STRING], MacAddress= ↓[STRING])
2、根據日(rì)志(zhì)信息記錄的(de)攻擊者的(de)MAC®λ$↕地(dì)址查找MAC地(dì)址表,從(cóng)而獲取到(dào)€™攻擊源所在的(de)端口,通(tōng)過網絡進一(β✔yī)步排查,定位出攻擊源,為(wèi)PC中毒所緻。PC假冒網關向同♠★網段設備請(qǐng)求IP。
對(duì)用(yòng)戶PC殺毒,網關開(kā ↔→∑i)啓防假冒網關攻擊功能(néng)。
在S9300上(shàng)配置防網關沖突功能(néng)♦↕¥≥arp anti-attack gatew ↕©ay-duplicate enable,ARP網關沖突防攻擊功能(né™↑ng)使能(néng)後,系統生(shēng)成ARP防攻擊表項,在後續一(♠•♠yī)段時(shí)間(jiān)內(nèi)對(du♦₩ì)收到(dào)具有(yǒu)相(xiàn®♦"g)同源MAC地(dì)址的(de)報(bào)文(wén)¶δ♣直接丢棄,這(zhè)樣可(kě)以防止與網關地(d¥±♦ì)址沖突的(de)ARP報(bào)文(wén)在VLAN內(nè€∞∑i)廣播。
攻擊者設置主機(jī)靜(jìng)态IP地(dì)址時(s↔λ✔hí),把主機(jī)地(dì)址設置成網關地(dì)址。在主機(j↑€•ī)設置靜(jìng)态IP地(dì)址後,會(huì)發送免費(fèi∞✔₽)ARP報(bào)文(wén)在局域網內γ ☆(nèi)進行(xíng)通(tōng)σ告,該局域網內(nèi)其他(tā)PC機(jī)收到(dào♣±")此報(bào)文(wén)後,會(huì)修改自(zì)身(shēn∞&♥)的(de)網關ARP表項,修改網關MAC為(wèi)攻擊者MAC↑,導緻該局域網內(nèi)所有(yǒu)用(yòng)戶無法正常使用™→™≠(yòng)網絡,網絡中斷。當攻擊者頻(pín)繁發送源IP地(dì)®€∑Ω址為(wèi)網關地(dì)址的(de)免費(fèi)ARP報(bào)☆®文(wén),即使網關設備收到(dào)此報(b࣠♣o)文(wén)能(néng)夠通(tōng)知(zhī)局域網內(n¥èi)正常主機(jī)把網關搶回,但(dàn)是(shì>≥★)主機(jī)網關MAC地(dì)址頻(pín)繁切換也(yě)會( ©≤ huì)導緻網絡中斷。