您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

华为路由器防止ARP攻击检查步骤

执行命令display arp,检查是否学到对端ARP表项。<SRG> display arpIP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE VLAN/PVC-----------------------------------------------------...

执行命令display arp,检查是否学到对端ARP表项。

<SRG> display arp

IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE                                    

                                          VLAN/PVC                             

------------------------------------------------------------------------------

128.18.196.208  0018-8239-1e63            I           GE0/0/2                   

128.18.196.20   0021-97cf-cfc1  16        D           GE0/0/2                  

128.18.196.4    001e-90a0-154f  16        D           GE0/0/2                  

128.18.196.8    001e-9060-405a  20        D           GE0/0/2                  

128.18.196.216  00e0-fcfc-1010  20        D           GE0/0/2                  

------------------------------------------------------------------------------ 

Total:5         Dynamic:4       Static:0    Interface:1IP ADDRESS字段表示IP地址,MAC ADDRESS表示MAC地址。

TYPE字段表示类型。I表示接口本身的MAC地址;D表示通过ARP协议报文获取的动态表项;S表示通过静态配置获取的静态表项。

SRG学习到了对端的ARP表项,请检查Vlanif接口。

发现SRG未学习到对端的ARP表项,。

检查ARP报文收发是否正常。

在SRG上执行命令debugging arp packet。

<SRG> debugging arp packet

<SRG> terminal monitor

Info:Current terminal monitor is on

<SRG> terminal debugging

Info:Current terminal debugging is on正确收发了ARP报文,则将输出如下信息。

*0.1090420 SRG ARP/7/arp_send:Send an ARP Packet, operation : 1, send

er_eth_addr : 0018-8239-1e63,sender_ip_addr : 128.18.196.208, target_eth_addr :

00e0-4c84-0b04, target_ip_addr : 128.18.196.2

*0.1083955 SRG ARP/7/arp_rcv:Receive an ARP Packet, operation : 2, se

nder_eth_addr : 00e0-fcfc-1010, sender_ip_addr : 128.18.196.216, target_eth_addr

 : 0000-0000-0000, target_ip_addr : 128.18.196.216 正常能够ping通的环境,请求和应答报文都应该显示,如果配置环境有问题,可能会只有请求而没有应答,或者请求报文和应答报文都没有。

上层收发正常,执行命令debugging ethernet packet arp interface GigabitEthernet 0/0/2,检查链路层是否发送正常。

<SRG> debugging ethernet packet arp interface GigabitEthernet 0/0/2

<SRG> terminal monitor

Info:Current terminal monitor is on

<SRG> terminal debugging

Info:Current terminal debugging is on

*0.3743890 SRG ETH/7/eth_rcv:Receive an Eth Packet, interface : GigabitEthernet 0/0/2, eth format: 0, length: 60, prototype: 0806 arp, src_eth_addr:

001e-9060-405a, dst_eth_addr: 0018-8239-1e63

*0.3743789 SRG ETH/7/eth_send:Send an Eth Packet, interface : GigabitEthernet 0/0/2, eth format: 0, length: 42, prototype: 0806 arp, src_eth_addr : 0

018-8239-1e63, dst_eth_addr : ffff-ffff-ffff以上信息表明链路层发送ARP请求报文正常,可用检查报文收发计数是否正确进一步定位。

检查报文收发计数是否正确。

在接口视图下执行命令display this interface,或执行命令display interface interface-type interface-number,查看报文计数。

<SRG> display interface GigabitEthernet 0/0/2

GigabitEthernet0/0/2 current state : UP                                       

Line protocol current state : UP                                               

Description : GigabitEthernet0/0/2 Interface, Route Port

The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)

Internet Address is 128.18.196.208/24                                          

IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0018-8239-1e63

Media type is twisted pair, loopback not set, promiscuous mode not set          

1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiation

    Last 300 seconds input rate 516 bits/s, 4 packets/s                   

    Last 300 seconds input rate 116 bits/s, 1 packets/s                   

    Input: 72455 packets, 7499379 bytes

           15123 unicasts, 50434 broadcasts, 6898 multicasts

           0 errors, 0 runts, 0 giants, 0 FCS                                  

           0 length error, 0 code error, 0 align errors

    Output:20801 packets, 4944318 bytes                                        

           20784 unicasts, 17 broadcasts, 0 multicasts

           0 errors, 0 collisions, 0 late collisions                           

           0 ex. collisions, 0 FCS error                                       

           0 deferred, 0 runts, 0 giantsInput字段表示输入的报文数,Output字段表示输出的报文数,unicasts表示单播报文的个数,broadcasts字段表示广播报文的个数,multicasts表示组播报文的个数。

对于ARP请求报文,请查看广播报文收发情况。

对于ARP应答报文,请查看单播报文收发情况。

如果出现以下情况,请记录定位过程和显示的调试信息以及接口计数,并联系技术支持工程师。

上层没有发送、或没有正确发送ARP请求或者应答报文。

上层正确发送了ARP请求或者应答报文,但是链路层没有发送或者发送错误。

上层正确发送了ARP请求或者应答报文,链路层也收发正常,但是对应接口没有收发计数。

检查Vlanif接口。

对于Vlanif逻辑口,需要同步更新主机路由。可以执行命令display fib检查FIB表是否已更新。对于普通物理接口和其他逻辑接口则不需要检查。 

<SRG> display fib

Fib Flags: B - blackhole, D - dynamic, G - gateway, H - host, S - static       

           U - up                                                              

------------------------------------------------------------------------------ 

 FIB Table:                                                                    

 Total number of Routes : 4

Destination/Mask   Nexthop         Flag TimeStamp     Interface     TunnelID

127.0.0.1/32       127.0.0.1       HU   t[77]         InLoop0       0x0 

127.0.0.0/8        127.0.0.1       U    t[77]         InLoop0       0x0

100.1.1.1/32       127.0.0.1       HU   t[105]        InLoop0       0x0 

100.1.1.0/24       100.1.1.1       U    t[105]        GE0/0/2       0x0  检查ICMP报文收发是否正常。

如果ARP表项都正常,并且是Vlanif逻辑口的时候也正确更新了路由表,仍出现其他异常,可进行下述操作。

执行命令debugging ip packet acl acl-number,检查IP报文收发情况。

执行命令debugging ip icmp,收集更多的故障信息以定位问题。

经过上面的步骤,就可以彻底解决ARP欺骗攻击的问题,大家可以尝试一下。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号