局域網(wǎng)協(xié)議-源MAC地址攻擊導(dǎo)致端口流量瞬斷故障處理-D_第1頁(yè)
局域網(wǎng)協(xié)議-源MAC地址攻擊導(dǎo)致端口流量瞬斷故障處理-D_第2頁(yè)
局域網(wǎng)協(xié)議-源MAC地址攻擊導(dǎo)致端口流量瞬斷故障處理-D_第3頁(yè)
局域網(wǎng)協(xié)議-源MAC地址攻擊導(dǎo)致端口流量瞬斷故障處理-D_第4頁(yè)
局域網(wǎng)協(xié)議-源MAC地址攻擊導(dǎo)致端口流量瞬斷故障處理-D_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、,局域網(wǎng)協(xié)議源MAC地址攻擊導(dǎo)致端口流量瞬斷故障處理源 MAC 地址攻擊導(dǎo)致端口流量瞬斷故障處理杭州華三通信技術(shù)有限公司第i頁(yè) HYPERLINK / 目 錄 HYPERLINK l _bookmark0 第 1 章 源MAC地址攻擊導(dǎo)致端口流量瞬斷故障處理 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 現(xiàn)象描述 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 display信息顯示 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 原因分析 HYPE

2、RLINK l _bookmark1 2 HYPERLINK l _bookmark2 處理過(guò)程 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 建議與總結(jié) HYPERLINK l _bookmark3 4源 MAC 地址攻擊導(dǎo)致端口流量瞬斷故障處理杭州華三通信技術(shù)有限公司第 PAGE 4頁(yè) HYPERLINK / 第1章 源 MAC 地址攻擊導(dǎo)致端口流量瞬斷故障處理現(xiàn)象描述BASGE2/0/1SwitchEth3/0/4DSLAM組網(wǎng)如 HYPERLINK l _bookmark0 圖 1-1所示,Switch下接DSLAM,上接BAS,由BA

3、S終結(jié)用戶的撥號(hào)PPPoE 報(bào)文。在Switch上配置靈活QinQ功能,用戶側(cè)VLAN為 824,網(wǎng)絡(luò)側(cè)VLAN為 1003。BAS的網(wǎng)關(guān)MAC地址為 0090-1AA0-D47A。Host AHost BHost C圖1-1 源 MAC 地址攻擊導(dǎo)致端口流量瞬斷組網(wǎng)圖故障現(xiàn)象為:DSLAM 下掛用戶不定時(shí)大規(guī)模掉線。出現(xiàn)問(wèn)題時(shí),發(fā)現(xiàn) Ethernet3/0/4 端口的流量急劇下降,從該端口進(jìn)來(lái)的單播報(bào)文被全部丟棄。大約 5 分鐘左右, Ethernet3/0/4 端口的流量開(kāi)始慢慢回升,證明此時(shí)大規(guī)模掉線已經(jīng)結(jié)束,DSLAM 下掛用戶又在逐步恢復(fù)連接,網(wǎng)絡(luò)在逐步恢復(fù)正常狀態(tài)。display

4、信息顯示 display interface ethernet 3/0/4 Ethernet3/0/4 current state: UPIP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e200-8048 Description: Ethernet3/0/4 InterfaceLoopback is not setMedia type is twisted pair, port hardware type is 100_BASE_TX Unknown-speed mode, unknown-duplex modeLink

5、 speed type is autonegotiation, link duplex type is autonegotiationFlow-control is not enabledThe Maximum Frame Length is 9022 Broadcast MAX-ratio: 100%Unicast MAX-ratio: 100%Multicast MAX-ratio: 100% Allow jumbo frame to pass PVID: 100Mdi type: autoPort link-type: trunk VLAN Passing: 824 VLAN Permi

6、tted: 824Trunk port encapsulation: IEEE 802.1q Port priority: 0Last 300 seconds input:1 packets/sec 147 bytes/secLast 300 seconds output:1 packets/sec 179 bytes/secInput (total):271 packets, 12250 bytes /端口在故障時(shí)只有組播和廣播報(bào)文的記數(shù)150 broadcasts, 121 multicasts Input (normal):271 packets, 12250 bytes150 broa

7、dcasts, 121 multicastsInput:0 input errors, 0 runts, 0 giants, 0 throttles0 CRC, 0 frame, - overruns, 0 aborts- ignored, - parity errorsOutput (total): 1522 packets, 183608303 bytes13 broadcasts, 860 multicasts, 0 pauses Output (normal): 1522 packets, - bytes13 broadcasts, 860 multicasts, 0 pauses O

8、utput: 0 output errors, - underruns, 1 buffer failures0 aborts, 0 deferred, 0 collisions, 0 late collisions0 lost carrier, - no carrier原因分析從現(xiàn)象上看,Switch 的 Ethernet3/0/4 端口的入方向報(bào)文計(jì)數(shù)在故障時(shí)只有組播和廣播報(bào)文,基本上可以確定:由于某種原因,導(dǎo)致從 Switch 的 Ethernet3/0/4 端口進(jìn)來(lái)的單播報(bào)文被全部丟棄了。DSLAM 下掛用戶正常通信的流量以單播報(bào)文為主,這種丟棄行為導(dǎo)致用戶下線,然后重新認(rèn)證,所以端口流

9、量大大減小。因此從報(bào)文被丟棄的原因著手分析問(wèn)題。這種報(bào)文丟棄特征和“源端口返回報(bào)文” 丟棄很吻合,也就是說(shuō)很可能端口收到了目的 MAC 地址和本端口學(xué)習(xí)到的目的MAC 地址一致的報(bào)文。正常工作狀態(tài)下,BAS 設(shè)備的 MAC 地址(也就是從 Switch 的 Ethernet3/0/4 端口上來(lái)的PPPoE 單播流量的目的MAC 地址)只會(huì)學(xué)習(xí)到 Switch的 GigabitEthernet2/0/1 端口的 VLAN 1003(QinQ 外層 VLAN),不會(huì)學(xué)習(xí)到用戶側(cè)端口,除非網(wǎng)絡(luò)中有環(huán)路或者其他原因。下面是正常情況下 Switch 的 MAC 地址表信息: display mac-ad

10、dressMAC ADDRVLAN IDSTATEPORT INDEXAGINGTIME(s)0090-1aa0-d47a1003LearnedGigabitEthernet2/0/1AGING0090-1aa0-d47a1101LearnedGigabitEthernet2/0/1AGING0090-1aa0-d47a1201LearnedGigabitEthernet2/0/1AGING0090-1aa0-d47a4093LearnedGigabitEthernet2/0/1AGING再看看出故障時(shí)學(xué)習(xí)到 Switch 的 Ethernet3/0/4 端口的 MAC 地址:0090-1aa

11、0-d47a824LearnedEthernet3/0/4AGING這個(gè) MAC 地址是 BAS 的 MAC 地址,卻學(xué)習(xí)到了用戶側(cè) Switch 的 Ethernet3/0/4 端口的 VLAN 824。這時(shí),從 Switch 的 Ethernet3/0/4 端口上來(lái)的 PPPoE 正常業(yè)務(wù)報(bào)文的目的 MAC 地址正是這個(gè) MAC 地址,結(jié)果被作為源端口返回報(bào)文全部丟棄。重新檢視故障前后的定位信息,發(fā)現(xiàn)了這樣的規(guī)律:大規(guī)模掉線時(shí)(端口大量丟包), BAS 的 MAC 地址學(xué)習(xí)到了 Switch 的 Ethernet3/0/4 端口,而在業(yè)務(wù)流量逐漸恢復(fù)到正常的期間,這個(gè) MAC 地址被老化掉

12、了。因?yàn)?DSLAM 和 Switch 是直連,中間沒(méi)有其他交換機(jī)導(dǎo)致環(huán)路,網(wǎng)絡(luò)拓?fù)湟恢碧幱诜€(wěn)定狀態(tài),因此可以得出結(jié)論:DSLAM 下掛用戶通過(guò)仿冒網(wǎng)關(guān) MAC 地址的方法對(duì)Switch 進(jìn)行攻擊,導(dǎo)致該 DSLAM 下面用戶大規(guī)模掉線。從用戶的攻擊心理看,攻擊大多數(shù)是為了獲取更大的帶寬,把其他用戶踢下線,讓網(wǎng)絡(luò)系統(tǒng)重新來(lái)一次初始化,攻擊者會(huì)明顯感覺(jué)網(wǎng)速比以前要快了。處理過(guò)程在 Switch 的上行口 GigabitEthernet2/0/1 配置一個(gè)用戶側(cè) VLAN 824 的靜態(tài)網(wǎng)關(guān)MAC 地址,這樣網(wǎng)關(guān) MAC 地址就永遠(yuǎn)不會(huì)學(xué)習(xí)到 Switch 的 Ethernet3/0/4 端口了,

13、 攻擊者仿冒 MAC 地址的攻擊也就不起作用了,方法如下:# 首先,把 GigabitEthernet2/0/1 端口加入到 VLAN 824: system-viewSwitch interface gigabitethernet 2/0/1Switch-GigabitEthernet2/0/1 port link-type trunk Switch-GigabitEthernet2/0/1 port trunk permit vlan 824# 然后,在 GigabitEthernet2/0/1 端口的 VLAN 824 設(shè)置一個(gè)網(wǎng)關(guān)靜態(tài) MAC 地址:Switch-GigabitEthernet2/0/1 quitSwitch mac-address static 0090-1aa0-d47a interface gigabitethernet 2/0/1 vlan 824配置了靜態(tài) MAC 地址后,DSLAM 下掛的用戶運(yùn)行很穩(wěn)定,再未出現(xiàn)掉線的情況。 說(shuō)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論