可以通過查看ARP報文的CPCAR統計情況確認設備是否受到攻擊。
display cpu-defend arp-request statistics all
display cpu-defend arp-reply statistics all
通過上述命令參看ARP報文的統計信息,如果Drop數值很多,並且持續增長,增長較快,基本可以確認設備受到ARP攻擊了。通常情況下,以arp-request報文的攻擊居多。
通常情況下,以arp-request報文的攻擊居多。
這種情況下,可以適當調整報文的CPCAR值,壹般放大到128Kbps即可,還需要整體考慮CPU的利用率情況。CPCAR值放大了,上送CPU的報文就可多了,肯定會增加CPU的負擔。
在受到攻擊的情況下,關鍵還是要確認攻擊源。可以通過抓包或打開調試開關查看攻擊源,然後配置黑名單將攻擊源屏蔽。
調試手段:
打開ARP的調試開關,debugging arp packet,壹段時間後關閉,如果調試信息太多,可以打開10秒左右關閉,最長30秒即可。
從調試信息或抓包中確認,那個源MAC地址發送的ARP報文過多,該MAC地址是否是正常用戶。如果不是,可以配置黑名單將該MAC地址過濾。