先弄明白ARP Miss是怎麼產生的:裝置在轉發報文時,如果報文的目的地址和裝置三層介面地址在同一個網段,正常情況下會查詢arp進行直接轉發,如果查詢不到arp表項,就會上送CPU觸發ARP-MISS流程來學習ARP。上層軟體收到ARP Miss訊息後,首先生成一個ARP假表項傳送給裝置,防止相同的ARP Miss訊息不斷上報;然後上層軟體傳送ARP請求報文,在收到迴應後,用學習到的ARP表項替換原有的假表項傳送給裝置,流量可以正常轉發。動態ARP假表項有一個老化時間,在老化時間之內,裝置不再向上層軟體傳送ARP Miss訊息。老化時間超時後,假表項被清除,裝置轉發時再次匹配不到對應的ARP表項,重新生成ARP Miss訊息上報給上層軟體。如此迴圈重複。對於同一個源IP傳送的觸發ARP-MISS流程報文,一秒鐘內如果超過門限值(預設為5個),系統會認為這是一種非法的攻擊報文,就會針對該ip地址下發一條ACL規則,丟棄該源IP傳送的所有需要上送CPU處理的報文;如果50s之內系統沒有再次檢測到該源ip傳送的報文有arp-miss超過門限的情況,該ACL規則會自動刪除,觸發arp-miss流程的報文可以繼續上送CPU處理ARP Miss告警示例:May 8 2014 18:02:00 7706-A %%01SECE/4/ARPMISS(l)[13]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/17, SourceIP=10.0.1.202, AttackPackets=92 packets per second)May 8 2014 18:01:47 7706-A %%01SECE/4/ARPMISS(l)[14]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/14, SourceIP=10.0.1.22, AttackPackets=6 packets per second) SECE/4/ARPMISS日誌資訊SECE/4/ARPMISS: Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=[STRING], SourceIP=[STRING], AttackPackets=[ULONG] packets per second)日誌含義超過了整機arp-miss限速值。日誌引數引數名稱引數含義[STRING] 介面名。[STRING] 攻擊報文的源ip地址。[ULONG] 攻擊源報文數率(單位pps)。可能原因攻擊使用者傳送arp-miss訊息數超過了限速值。處理步驟系統檢視下執行命令display this檢視arp-miss訊息速率檢查值。系統檢視下執行命令arp-miss anti-attack rate-limit packet-number [ interval-value ]重新配置速率檢查值。如果日誌產生頻繁請聯絡華為技術支援工程師,否則不用處理。
先弄明白ARP Miss是怎麼產生的:裝置在轉發報文時,如果報文的目的地址和裝置三層介面地址在同一個網段,正常情況下會查詢arp進行直接轉發,如果查詢不到arp表項,就會上送CPU觸發ARP-MISS流程來學習ARP。上層軟體收到ARP Miss訊息後,首先生成一個ARP假表項傳送給裝置,防止相同的ARP Miss訊息不斷上報;然後上層軟體傳送ARP請求報文,在收到迴應後,用學習到的ARP表項替換原有的假表項傳送給裝置,流量可以正常轉發。動態ARP假表項有一個老化時間,在老化時間之內,裝置不再向上層軟體傳送ARP Miss訊息。老化時間超時後,假表項被清除,裝置轉發時再次匹配不到對應的ARP表項,重新生成ARP Miss訊息上報給上層軟體。如此迴圈重複。對於同一個源IP傳送的觸發ARP-MISS流程報文,一秒鐘內如果超過門限值(預設為5個),系統會認為這是一種非法的攻擊報文,就會針對該ip地址下發一條ACL規則,丟棄該源IP傳送的所有需要上送CPU處理的報文;如果50s之內系統沒有再次檢測到該源ip傳送的報文有arp-miss超過門限的情況,該ACL規則會自動刪除,觸發arp-miss流程的報文可以繼續上送CPU處理ARP Miss告警示例:May 8 2014 18:02:00 7706-A %%01SECE/4/ARPMISS(l)[13]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/17, SourceIP=10.0.1.202, AttackPackets=92 packets per second)May 8 2014 18:01:47 7706-A %%01SECE/4/ARPMISS(l)[14]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/14, SourceIP=10.0.1.22, AttackPackets=6 packets per second) SECE/4/ARPMISS日誌資訊SECE/4/ARPMISS: Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=[STRING], SourceIP=[STRING], AttackPackets=[ULONG] packets per second)日誌含義超過了整機arp-miss限速值。日誌引數引數名稱引數含義[STRING] 介面名。[STRING] 攻擊報文的源ip地址。[ULONG] 攻擊源報文數率(單位pps)。可能原因攻擊使用者傳送arp-miss訊息數超過了限速值。處理步驟系統檢視下執行命令display this檢視arp-miss訊息速率檢查值。系統檢視下執行命令arp-miss anti-attack rate-limit packet-number [ interval-value ]重新配置速率檢查值。如果日誌產生頻繁請聯絡華為技術支援工程師,否則不用處理。