pdf

源MAC地址攻击导致端口流量瞬断故障处理

  • 1星
  • 日期: 2018-07-31
  • 大小: 135.45KB
  • 所需积分:1分
  • 下载次数:0
  • favicon收藏
  • rep举报
  • 分享
  • free评论
标签: H3CMAC地址

网络通信相关教程材料,有兴趣的同学可以下载学习。

文档内容节选

源 MAC 地址攻击导致端口流量瞬断故障处理 目 录 第 1 章 源MAC地址攻击导致端口流量瞬断故障处理 1 11 现象描述 1 12 display信息显示 1 13 原因分析 2 14 处理过程 3 15 建议与总结 4 杭州华三通信技术有限公司 wwwh3ccomcn 第i页 源 MAC 地址攻击导致端口流量瞬断故障处理 第1章 源 MAC 地址攻击导致端口流量瞬断故障处理 11 现象描述 组网如 图 11所示,Switch下接DSLAM,上接BAS,由BAS终结用户的拨号PPPoE 报文在Switch上配置灵活QinQ功能,用户侧VLAN为 824,网络侧VLAN为 1003 BAS的网关MAC地址为 00901AA0D47A BAS Switch DSLAM GE201 Eth304 Host A Host B Host C 图11 源 MAC 地址攻击导致端口流量瞬断组网图 故障现象为:DSLAM 下挂用户不定时大规模掉线出现问题时,发现 Ethernet304 端口的流量急剧下降,从该端口进来的单播报文被全......

源 MAC 地址攻击导致端口流量瞬断故障处理 目 录 第 1 章 源MAC地址攻击导致端口流量瞬断故障处理 ..................................................................1 1.1 现象描述................................................................................................................................ 1 1.2 display信息显示 .................................................................................................................... 1 1.3 原因分析................................................................................................................................ 2 1.4 处理过程................................................................................................................................ 3 1.5 建议与总结............................................................................................................................ 4 杭州华三通信技术有限公司 www.h3c.com.cn 第i页 源 MAC 地址攻击导致端口流量瞬断故障处理 第1章 源 MAC 地址攻击导致端口流量瞬断故障处理 1.1 现象描述 组网如 图 1-1所示,Switch下接DSLAM,上接BAS,由BAS终结用户的拨号PPPoE 报文。在Switch上配置灵活QinQ功能,用户侧VLAN为 824,网络侧VLAN为 1003。 BAS的网关MAC地址为 0090-1AA0-D47A。 BAS Switch DSLAM GE2/0/1 Eth3/0/4 Host A Host B Host C 图1-1 源 MAC 地址攻击导致端口流量瞬断组网图 故障现象为:DSLAM 下挂用户不定时大规模掉线。出现问题时,发现 Ethernet3/0/4 端口的流量急剧下降,从该端口进来的单播报文被全部丢弃。大约 5 分钟左右, Ethernet3/0/4 端口的流量开始慢慢回升,证明此时大规模掉线已经结束,DSLAM 下挂用户又在逐步恢复连接,网络在逐步恢复正常状态。 1.2 display 信息显示 display interface ethernet 3/0/4 Ethernet3/0/4 current state: UP IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e200-8048 Description: Ethernet3/0/4 Interface Loopback is not set Media type is twisted pair, port hardware type is 100_BASE_TX Unknown-speed mode, unknown-duplex mode Link speed type is autonegotiation, link duplex type is autonegotiation 第1页 www.h3c.com.cn 杭州华三通信技术有限公司 源 MAC 地址攻击导致端口流量瞬断故障处理 Flow-control is not enabled The Maximum Frame Length is 9022 Broadcast MAX-ratio: 100% Unicast MAX-ratio: 100% Multicast MAX-ratio: 100% Allow jumbo frame to pass PVID: 100 Mdi type: auto Port link-type: trunk VLAN Passing : 824 VLAN Permitted: 824 Trunk port encapsulation: IEEE 802.1q Port priority: 0 Last 300 seconds input: 1 packets/sec 147 bytes/sec Last 300 seconds output: 1 packets/sec 179 bytes/sec Input (total): 271 packets, 12250 bytes //端口在故障时只有组播和广播报文的记数 150 broadcasts, 121 multicasts Input (normal): 271 packets, 12250 bytes 150 broadcasts, 121 multicasts Input: 0 input errors, 0 runts, 0 giants, 0 throttles 0 CRC, 0 frame, - overruns, 0 aborts - ignored, - parity errors Output (total): 1522 packets, 183608303 bytes 13 broadcasts, 860 multicasts, 0 pauses Output (normal): 1522 packets, - bytes 13 broadcasts, 860 multicasts, 0 pauses Output: 0 output errors, - underruns, 1 buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions 0 lost carrier, - no carrier 1.3 原因分析 从现象上看,Switch 的 Ethernet3/0/4 端口的入方向报文计数在故障时只有组播和广 播报文,基本上可以确定:由于某种原因,导致从 Switch 的 Ethernet3/0/4 端口进 来的单播报文被全部丢弃了。DSLAM 下挂用户正常通信的流量以单播报文为主,这 种丢弃行为导致用户下线,然后重新认证,所以端口流量大大减小。 因此从报文被丢弃的原因着手分析问题。这种报文丢弃特征和“源端口返回报文” 丢弃很吻合,也就是说很可能端口收到了目的 MAC 地址和本端口学习到的目的 MAC 地址一致的报文。正常工作状态下,BAS 设备的 MAC 地址(也就是从 Switch 的 Ethernet3/0/4 端口上来的 PPPoE 单播流量的目的 MAC 地址)只会学习到 Switch 杭州华三通信技术有限公司 www.h3c.com.cn 第2页 源 MAC 地址攻击导致端口流量瞬断故障处理 的 GigabitEthernet2/0/1 端口的 VLAN 1003(QinQ 外层 VLAN),不会学习到用户 侧端口,除非网络中有环路或者其他原因。 下面是正常情况下 Switch 的 MAC 地址表信息: display mac-address MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 0090-1aa0-d47a 1003 Learned GigabitEthernet2/0/1 AGING 0090-1aa0-d47a 1101 Learned GigabitEthernet2/0/1 AGING 0090-1aa0-d47a 1201 Learned GigabitEthernet2/0/1 AGING 0090-1aa0-d47a 4093 Learned GigabitEthernet2/0/1 AGING 再看看出故障时学习到 Switch 的 Ethernet3/0/4 端口的 MAC 地址: 0090-1aa0-d47a 824 Learned Ethernet3/0/4 AGING 这个 MAC 地址是 BAS 的 MAC 地址,却学习到了用户侧 Switch 的 Ethernet3/0/4 端口的 VLAN 824。这时,从 Switch 的 Ethernet3/0/4 端口上来的 PPPoE 正常业务 报文的目的 MAC 地址正是这个 MAC 地址,结果被作为源端口返回报文全部丢弃。 重新检视故障前后的定位信息,发现了这样的规律:大规模掉线时(端口大量丢包), BAS 的 MAC 地址学习到了 Switch 的 Ethernet3/0/4 端口,而在业务流量逐渐恢复 到正常的期间,这个 MAC 地址被老化掉了。 因为 DSLAM 和 Switch 是直连,中间没有其他交换机导致环路,网络拓扑一直处于 稳定状态,因此可以得出结论:DSLAM 下挂用户通过仿冒网关 MAC 地址的方法对 Switch 进行攻击,导致该 DSLAM 下面用户大规模掉线。从用户的攻击心理看,攻 击大多数是为了获取更大的带宽,把其他用户踢下线,让网络系统重新来一次初始 化,攻击者会明显感觉网速比以前要快了。 1.4 处理过程 在 Switch 的上行口 GigabitEthernet2/0/1 配置一个用户侧 VLAN 824 的静态网关 MAC 地址,这样网关 MAC 地址就永远不会学习到 Switch 的 Ethernet3/0/4 端口了, 攻击者仿冒 MAC 地址的攻击也就不起作用了,方法如下: # 首先,把 GigabitEthernet2/0/1 端口加入到 VLAN 824: system-view [Switch] interface gigabitethernet 2/0/1 [Switch-GigabitEthernet2/0/1] port link-type trunk [Switch-GigabitEthernet2/0/1] port trunk permit vlan 824 # 然后,在 GigabitEthernet2/0/1 端口的 VLAN 824 设置一个网关静态 MAC 地址: [Switch-GigabitEthernet2/0/1] quit [Switch] mac-address static 0090-1aa0-d47a interface gigabitethernet 2/0/1 vlan 824 杭州华三通信技术有限公司 www.h3c.com.cn 第3页 源 MAC 地址攻击导致端口流量瞬断故障处理 配置了静态 MAC 地址后,DSLAM 下挂的用户运行很稳定,再未出现掉线的情况。 (cid:9) 说明: 在有多个上行口的情况下,在任意一个上行口配置该静态 MAC 地址即可。 1.5 建议与总结 在使能灵活 QinQ 的情况下,为了防止用户进行源 MAC 地址攻击,建议在设备的上 行口配置网关的静态 MAC 地址。 Copyright ©2008 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 本文档中的信息可能变动,恕不另行通知。 杭州华三通信技术有限公司 www.h3c.com.cn 第4页
更多简介内容

推荐帖子

MSP430软件开发手册
分享一个珍藏的MSP430软件开发手册,希望对大家有帮助:) 改文档不新,现在MSP430FR铁电MCU更具竞争优势和超低功耗。 但第六章的软件价格对每个嵌入式工程师都是非常有用处的: 典型MSP430例程结构 如前文所讲,进行MSP430开发所需的例程可以通过TI官网下载,430Ware下载或者互联网搜索寻得。示例程序是我们进行板卡学习和项目开发必不可少的一个辅助工具,德州仪
Aguilera 【微控制器 MCU】
如何通俗易懂的理解电源中的开关AC-DC转换
       首先,简单说明一下开关方式的AC/DC转换。请参照右侧的基本电路,以及位于下方的波形。   在这里,以日本国内为例,输入电压设定为100VAC。此100VAC最初用桥式二极管加以整流。此为全波整流。100VAC直接整流,所以桥式二极管须为耐高电压规格才行。100VAC的峰值为140V左右。   再以电容器使其平滑。电容器的规格同样须为耐高电压。   以转换的原理来说
fish001 【模拟与混合信号】
静噪基础教程——差分传输中的噪声抑制
如今笔记本电脑已经越来越纤薄流畅。在上世纪90年代,个人电脑就像大号便当盒,似乎很难相信它们曾经那么笨重。接口部分也很大,并为鼠标、打印机和其他设备配备了各种类型的专用连接器。后来改成了通用接口,使其大幅小型化。 通过加快信号传输速度来减少信号线的数量,从而实现了连接器的小型化。然而,当简单地加速信号频率时,EMI噪声也会相应增加,这是一个矛盾。采用差分传输为解决这个问题做出了重要贡
Aguilera 【模拟与混合信号】
ESP32-S2开发之坑(3)--移植littlevgl
       littlevgl获取 按以下readme说明进行获取  https://github.com/littlevgl/lv_port_esp32      esp32s2移植 此port分支是针对esp32,楼主一开始觉得esp32s2的spi外设应该与esp32一样,接口按理应该完全兼容,所以试下改变target,然后menuconfig配置下即可,没料完全不能用!!不得
RCSN DIY/开源硬件专区
请问当MSP430FR2311供电电压上升到3.5V时,IIC出现异常是什么原因?如何解决?
最近测试MSP430FR3211发现在 用3.3V以下电源供电的时候单片机系统正常运行,当电压升到3.5V以后单片机确定在运行,但是IIC两根线输出全是低,我们查了硬件和程序没发现异常,请TI技术论坛的高手分析一下,谢谢!   数据手册上建议的电压是1.8-3.6V,但是针对不同的模块,我们也给出了相应的范围,如Table 5-19. eUSCI (I2C Mode) Switchin
Aguilera 【微控制器 MCU】
电源的PWM与PFM区别
科技的发展产生了很多的电源设计者,从事开关电源工作的工程师们,说到PWM与PFM两种控制技术应该是在熟悉不过了。他们分别在开关电源里面起着怎么的作用,占有怎样的地位?   开关电源的控制技术主要有三种:(1)脉冲宽度调制(PWM);(2)脉冲频率调制(PFM);(3)脉冲宽度频率调制(PWM-PFM).   PWM:(pulse width modulation)脉冲宽度调制  
fish001 【模拟与混合信号】

评论

登录/注册

意见反馈

求资源

回顶部

datasheet推荐 换一换

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版 版权声明

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2020 EEWORLD.com.cn, Inc. All rights reserved
$(function(){ var appid = $(".select li a").data("channel"); $(".select li a").click(function(){ var appid = $(this).data("channel"); $('.select dt').html($(this).html()); $('#channel').val(appid); }) })