• 收到ARP攻击排查思路

1. 检查CPU统计中ARP报文“Drop”计数是否增长

  (1)在网关上执行命令display cpu-defend statistics all，查看ARP Request、ARP Reply和ARP Miss报文的“Drop”计数是否增长。

如果计数为0，说明设备没有丢弃ARP报文。如果怀疑存在ARP攻击，检查CPU占有率是否过高（超过70%）。

如果计数持续增长，少量增长且业务不受影响，可暂不做处理，持续观察；如果计数持续大量增长，在网关设备上检查ARP表项是否正常。

(2)通过display auto-port-defend attack-source命令查看交换机检测到的攻击源信息：

(3)检测到攻击之后，报文进入低优先级队列，同时对这些报文单独下发一个和该协议CPCAR相同的CAR值。如果报文速率超过该CAR值，报文被丢弃。丢弃报文的统计信息无法通过display cpu-defend statistics命令查看，需要通过诊断模式下的display auto-port-defend statistics命令查看。

2.检查CPU占有率是否过高（超过70%）

(1)在设备上执行display cpu-usage查看CPU占用率。

如果CPU占用率正常，而ARP相关报文被丢弃，可适当调大ARP相关报文的CPCAR值。从而找出攻击源做相应处理。首先通过display cpu-defend configuration查看当前上送CPU的ARP报文CPCAR值。

根据之前所查看的CPU统计结果，对"Drop"计数持续增长的ARP报文类型适当增大CPCAR值。

如果CPU占用率过高，此时不能再放大CPCAR的限制值，通过display auto-port-defend attack-source命令查看交换机检测到的攻击源信息，找出攻击源做相应处理。

3.在网关设备上检查ARP表项是否正常

在网关设备上执行命令display arp all，检查ARP表项，确认用户的ARP表项内容是否正确（IP、MAC、端口对应关系是否与真实情况一致）。

如正确，检查终端用户侧的ARP表项是否正常；如不正确，说明设备受到了ARP欺骗网关攻击，可获取报文信息，找出攻击源，对其进行处理或者在网关设备上配置防攻击功能缓解，请根据情况选择配置。

（1）获取报文信息，找出攻击源

建议在设备与用户连接的接口上获取报文，分析ARP报文的源地址，找出攻击者。并对攻击者进行杀毒或卸载攻击工具，或者配置黑洞MAC或CPU-DEFEND黑名单对攻击源的报文进行丢弃处理。 示例：通过黑洞MAC对攻击源上送报文进行丢弃处理

（2）在网关设备上配置防攻击功能

如果下挂用户较少，可以通过配置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用

如果下挂用户较多，可以根据现网环境配置相应的ARP表项固化功能

4.检查终端用户侧的ARP表项是否正常

如果用户的ARP表中网关的ARP表项与真实网关的IP和MAC不一致，可能是内网有设备与网关IP冲突或者设备受到了ARP仿冒网关攻击。请进行如下操作：

1. 检查内网是否有其他设备（终端PC、服务器或家用路由器、AP等网络设备）的IP与网关IP冲突

   如果内网中有设备与网关IP冲突，修改IP冲突的设备；如果没有IP冲突，建议在PC上获取报文，分析ARP报文的源地址，找出攻击者，并对其进行杀毒或卸载攻击工具，或者在网关上配置防攻击功能缓解。

2. 在网关上使能ARP防网关冲突攻击和发送免费ARP报文的功能

如果用户的ARP表中网关的ARP表项与真实网关的IP和MAC不一致，可获取报文，分析找出攻击源，对其进行处理或者在网关设备上配置动态ARP检测（DAI）功能缓解，请根据情况选择配置。

       1.如果PC的IP设置为静态IP地址，需要在交换机上手动添加静态绑定表，动态ARP检测功能配置方法如下：

如果PC的IP地址为动态获取的，则开启DHCP Snooping功能后，DHCP用户上线时设备会自动生成DHCP Snooping绑定表，动态ARP检测功能配置方法如下：

开启DHCP Snooping后，需要使PC重新获取IP地址才能生成表项。否则，没有绑定表时，所以ARP报文都将被丢弃。（可以在PC上禁用再启用网卡一次）

5.检查是否针对攻击源进行合理的限速

如果从当前的日志（display logbuffer查看）中已经明确显示攻击源的源IP地址或源MAC地址，则可直接对攻击源进行相应处理。

如：

请根据CPU统计中"Drop"计数持续增长的ARP报文类型分别进行排查。

1.ARP Miss计数持续大量增长,增大临时ARP表项的老化时间

针对ARP Miss攻击，在设备上执行命令display arp all，查看ARP表项。如果MAC地址字段显示为“Incomplete”，则根据表项得到IP地址及接口信息通过分析从该接口获取的报文，找出发起对Incomplete表项中IP地址访问的源地址。

确认攻击源以后，可以配置黑洞MAC或CPU-DEFEND黑名单对其报文进行丢弃处理，也可以对该源设备的ARP报文进行限速。

查看当前针对源IP地址的ARP Miss消息限速配置

配置基于源IP地址的ARP Miss消息限速

2.ARP Request和ARP Reply计数持续大量增长

排查攻击源,一般采用如下两种方法：

方法1：通过配置攻击溯源查找攻击源

应用攻击溯源后，等待一段时间，通过命令display auto-defend attack-source查看攻击源信息

方法2：通过端口镜像获取报文，查找攻击源

配置端口镜像，通过获取报文头，分析ARP Request或ARP Reply报文的源地址，找出攻击源。

如果同一个源MAC或者源IP地址出现在很多ARP Request或ARP Reply报文中，则设备认为该地址对应的主机就是攻击源。

确认攻击源以后，可以配置黑洞MAC或CPU-DEFEND黑名单对其报文进行丢弃处理，也可以对该源设备的ARP报文进行限速。

对攻击源进行ARP报文限速

根据实际情况，逐步调小基于源IP地址或源MAC地址的ARP报文速率观察。

首先查看当前的ARP限速配置

配置基于源IP地址的ARP限速