我來補充下因題主說到是ARP資料包。追蹤定位有以下這些方法1、此時閘道器路由器上有可能提示mac地址衝突的告警,可以根據mac地址在交換機上進行追蹤2、arp攻擊的原因很多,但表現分為兩種,一種是大量arp資料包,造成閘道器路由器cpu變高。另外一種只有少量資料包,但是會造成各種問題,比較典型的就是中間人攻擊,或資料包被竊取。針對第一種情況比較好處理,因為arp為廣播且資料包較多,所以比較明顯特徵是交換機上相同vlan介面上的output速率基本一致,基本上來說就是找那個介面的input速率較大,且都是廣播就可以了,就利用sh int | in protocol|input rate逐級定位,很快就可以找到根源。第二種情況比較麻煩,很可能終端使用者並沒感覺,這種情況的難點在於發現問題,明確故障現象。如果明確故障後,追蹤就比較容易了,一般都由sh mac-address-table來追蹤定位。3、就防範來說,主要目前主要是dhcp snooping+arp inspection+准入,可以比較好的解決arp病毒之類的問題。4、至於題主說到ddos攻擊,防範目前來說比較好的防範點在是購買運營商的清洗服務。使用者側清洗,主要可以防範伺服器資源消耗類的ddos,對於頻寬消耗型攻擊還是需要在運營商側清洗。
我來補充下因題主說到是ARP資料包。追蹤定位有以下這些方法1、此時閘道器路由器上有可能提示mac地址衝突的告警,可以根據mac地址在交換機上進行追蹤2、arp攻擊的原因很多,但表現分為兩種,一種是大量arp資料包,造成閘道器路由器cpu變高。另外一種只有少量資料包,但是會造成各種問題,比較典型的就是中間人攻擊,或資料包被竊取。針對第一種情況比較好處理,因為arp為廣播且資料包較多,所以比較明顯特徵是交換機上相同vlan介面上的output速率基本一致,基本上來說就是找那個介面的input速率較大,且都是廣播就可以了,就利用sh int | in protocol|input rate逐級定位,很快就可以找到根源。第二種情況比較麻煩,很可能終端使用者並沒感覺,這種情況的難點在於發現問題,明確故障現象。如果明確故障後,追蹤就比較容易了,一般都由sh mac-address-table來追蹤定位。3、就防範來說,主要目前主要是dhcp snooping+arp inspection+准入,可以比較好的解決arp病毒之類的問題。4、至於題主說到ddos攻擊,防範目前來說比較好的防範點在是購買運營商的清洗服務。使用者側清洗,主要可以防範伺服器資源消耗類的ddos,對於頻寬消耗型攻擊還是需要在運營商側清洗。