攻擊簡介

如果網(wǎng)絡(luò)中有用戶向設(shè)備發(fā)送大量目標IP地址不能解析的IP報文（即路由表中存在該IP報文的目的IP對應(yīng)的路由表項，但設(shè)備上沒有該路由表項中下一跳對應(yīng)的ARP表項），將導(dǎo)致設(shè)備觸發(fā)大量的ARP Miss消息。

大量的網(wǎng)段掃描報文會產(chǎn)生大量的ARP Miss消息，導(dǎo)致交換機的資源浪費在處理ARP Miss消息上，影響交換機對其他業(yè)務(wù)的處理，形成掃描攻擊。

現(xiàn)象描述

當(dāng)設(shè)備遭受ARP Miss消息攻擊時，設(shè)備會出現(xiàn)CPU占有率較高、有大量的臨時ARP表項、CPCAR存在ARP Miss丟包、Ping有時延或Ping不通等現(xiàn)象。業(yè)務(wù)方面會發(fā)生用戶掉線、用戶上網(wǎng)慢、設(shè)備脫管、甚至業(yè)務(wù)中斷等現(xiàn)象。

定位思考

定位手段命令行適用版本形態(tài)查看CPU-Defend丟包計數(shù)display cpu-defend statistics packet-type arp-miss?{?all?|?slot?slot-id?}V100R006C05版本以及之后版本查看ARP臨時表項display arpV100R006C05版本以及之后版本

1. 清除上送CPU的ARP Miss報文統(tǒng)計計數(shù)。
   

   <HUAWEI>?reset?cpu-defend?statistics?packet-type?arp-miss?all


2. 等待1分鐘后，查看這段時間內(nèi)上送CPU的ARP Miss數(shù)量。
   

   <HUAWEI>?display?cpu-defend?statistics?packet-type?arp-miss?slot?2
?Statistics?on?slot?2:
------------------------------------------------------------------------------------------
Packet?Type??????????Pass(Packet/Byte)???Drop(Packet/Byte)??Last-dropping-time
------------------------------------------------------------------------------------------
arp-miss?????????????????????????40800?????????????357680???2022-01-15?12:23:10?????
------------------------------------------------------------------------------------------


   查看通過和丟棄的報文數(shù)量，如果丟棄的消息數(shù)量大于通過的，則可認為是ARP Miss攻擊。

3. 查看設(shè)備上是否有大量的ARP臨時表項，如果存在大量（大概15個或者15個以上）的MAC ADDRESS字段為Incomplete的臨時表項，也可以認為是ARP Miss攻擊。
   

   <HUAWEI>?display?arp?all
IP?ADDRESS??????MAC?ADDRESS?????EXPIRE(M)?TYPE????????INTERFACE???VPN-INSTANCE
??????????????????????????????????????????VLAN/CEVLAN??????????????????????
------------------------------------------------------------------------------
10.137.217.202??00e0-0987-7890????????????I?-?????????Eth0/0/0
10.137.216.1????0000-5e00-0149??20????????D-0?????????Eth0/0/0
10.1.1.2????????00e0-0987-7899????????????I?-?????????GE6/1/1
10.1.20.1???????00e0-0987-789a????????????I?-?????????GE6/1/2
10.1.10.6???????00e0-0987-789b????????????I?-?????????GE6/1/3
10.1.11.6???????00e0-0987-789c????????????I?-?????????GE6/1/4
192.168.11.1????00e0-0987-789c????????????I?-?????????Vlanif11
192.168.11.254??Incomplete??????12????????D-0?????????Eth-Trunk1
????????????????????????????????????????????11/-
192.168.11.253??Incomplete??????16????????D-0?????????Eth-Trunk1
????????????????????????????????????????????11/-
------------------------------------------------------------------------------
Total:9?????????Dynamic:3???????Static:0?????Interface:6


原因分析

設(shè)備收到大量的ARP Miss消息常見的原因有兩種：

1. 存在網(wǎng)段掃描攻擊，可以通過獲取報文或者通過display arp anti-attack arpmiss-record-info命令來查看攻擊源。

2. 設(shè)備收到TC消息，導(dǎo)致ARP表項老化，設(shè)備出現(xiàn)大量的ARP Miss消息。對于TC消息導(dǎo)致的ARP Miss攻擊，防范手段參考TC攻擊。

操作步驟

方法方法缺點降低ARP Miss消息的CPCAR值可以快速降低報文上送可以基于全局、單板應(yīng)用，丟棄攻擊報文降低ARP Miss消息的CPCAR值針對具體目的地址進行抑制，在老化時間內(nèi)不觸發(fā)ARP Miss消息要選擇合適的老化時間。配置ARP Miss源抑制針對具體源地址進行抑制，在block時間內(nèi)不上送ARP Miss消息需要配置白名單，防止網(wǎng)絡(luò)側(cè)的設(shè)備被懲罰。配置黑名單丟棄指定攻擊源可以基于全局、單板應(yīng)用，丟棄攻擊報文攻擊消除后也無法訪問設(shè)備。

• 可以通過調(diào)整ARP Miss的CPCAR值來緩解CPU過高問題。

  ??<HUAWEI>?system-view
??[HUAWEI]?cpu-defend?policy?policy1
??[HUAWEI-cpu-defend-policy-policy1]?car?packet-type?arp-miss?cir?64
??[HUAWEI-cpu-defend-policy-policy1]?quit?
[HUAWEI]?cpu-defend-policy?policy1?global


  此方法只能緩解CPU過高問題，但無法解決用戶上線慢等問題。

• 可以通過延長ARP假表老化時間來緩解CPU過高問題。當(dāng)IP報文觸發(fā)ARP Miss后，交換機會發(fā)送ARP請求進行探測，同時生成臨時的ARP表項，將后續(xù)發(fā)送到此IP的數(shù)據(jù)報文直接丟棄，以免造成對CPU的沖擊。當(dāng)交換機收到ARP回應(yīng)后，會將此臨時的ARP表項修正，如果在規(guī)定的時間內(nèi)未收到ARP回應(yīng)，則將該臨時表項刪除，后續(xù)的IP報文即可繼續(xù)觸發(fā)上述ARP Miss流程。
  
  

  ??<HUAWEI>?system-view
??[HUAWEI]?interface?Vlanif?500??
[HUAWEI-Vlanif500]?arp-fake?expire-time?30??


  設(shè)置過大的假表老化時間，可能會導(dǎo)致ARP學(xué)習(xí)不實時，進而導(dǎo)致數(shù)據(jù)流量丟失。

• 配置基于源IP的ARP Miss限速，系統(tǒng)會自動識別超過速率的源IP且會自動下發(fā)ACL進行懲罰，默認情況下，所有IP地址的ARP Miss源抑制速率為30pps，默認懲罰時間為5秒。建議對網(wǎng)絡(luò)側(cè)的地址進行放通，防止被懲罰。
  

  ???<HUAWEI>?system-view
??[HUAWEI]?arp-miss?speed-limit?source-ip?maximum?10??//一個源IP最多產(chǎn)生arp-miss速率為10pps，缺省為30pps
[HUAWEI]?arp-miss?speed-limit?source-ip?1.1.1.1?maximum?200??//對上行的網(wǎng)絡(luò)側(cè)地址放行，防止誤懲罰


  可以通過命令display arp anti-attack arpmiss-record-info查看攻擊源。

  
  

  [HUAWEI]?display?arp?anti-attack?arpmiss-record-info
?Interface??????????????IP?address???Attack?time?????????Block?time????Aging-time?
----------------------------------------------------------------------------------------------------------------
?GigabitEthernet5/0/0????10.0.0.1???2122-01-16?10:18:18??2022-01-16?10:19:12??50
----------------------------------------------------------------------------------------------------------------
There?are?1?records?in?Arp-miss?table


  此命令會自動下發(fā)基于源IP的ARP Miss懲罰ACL，若不再需要其上送控制平面，則可以通過cpu-defend policy中配置黑名單功能徹底終結(jié)該源的攻擊。