Решение защиты от атак arp в кампусной сети – Инструкция по эксплуатации ZTE ZXR10 2900E series

Глава 7

Техобслуживание

Собственность корпорации ZTE. Конфиденциально. 243

устройств и вследствие этого сбой проверки подлинности
пользователей.

Решение

Когда инженер компании Б изменил пароль на amtium, сбой
времени

ожидания

проверки

подлинности

больше

не

возникал. Проблема была полностью устранена.

Решение защиты от атак ARP в
кампусной сети

Описание неисправности

11 коммутаторов 2900E уровня доступа в одной сети VLAN,
покрывающей здания студенческих общежитий, не могли
подключиться к сети. В результате сорок процентов
пользователей не могли получить доступ к сети.

Анализ и определение неисправности

В

процессе

проверки

системы

сетевого

управления

обнаружилось,

что

эти

одиннадцать

коммутаторов

отсоединены и не могли пересылать пакеты ping. Персонал
техобслуживания получил доступ к одному из коммутаторов
через

HyperTerminal

с

IP-адресом

172.168.0.123.

Коэффициент использования CPU достигал 93%~100%. При
проверке

информации

аварийной

сигнализации

и

конфигурации не было обнаружено никаких сбоев. При
получении доступа к коммутатору T40G уровня конвергенции
возник аварийный сигнал “gei_2/4 port receives more ARP
broadcast

packets”

(порт

gei_2/4

принимает

больше

широковещательных

пакетов

ARP).

При

проверки

информации трафика на этом порте обнаружилось, что
каждые десять секунд добавлялось примерно сто тысяч
пакетов широковещания.

После анализа коммутатора доступа 2900E на этом порте
выяснилась следующая ситуация:

1. Наличие петли на стороне пользователя.

2. Пользовательский узел был заражен вирусом и постоянно

отправлял пакеты широковещания.

3. На пользовательском узле было установлено программное

обеспечение для проведения атак ARP, которое постоянно
отправляло пакеты для атаки ARP.

При

проверке

выяснилось,

что

устройству

2900E,

подключенному к этому порту коммутатора уровня
конвергенции, был назначен IP-адрес 172.168.0.111.
Пользователь подключился к коммутатору через сетевой
кабель и в процессе отслеживания пакетов определил,
что узел с MAC-адресом 00:19:e0:a9:5a:fc постоянно
отправляет пакеты широковещания ARP. Согласно ярлыку