华为交换机上如何识别ARP攻击

1、1  网络主机侧攻击识别

1.1 Windows系统

如遇到主机不能与网关正常通信时，则在DOS界面下，输入arp –a命令，查看本主机的

ARP缓存表：

C:\Documents and Settings\p94997>arp -a 

Interface: 192.168.16.2 --- 0x2 

Internet Address Physical Address Type 

192.168.16.1 00-00-00-00-00-01  dynamic

核对ARP缓存表中，网关的MAC地址是否与实际网关MAC一致。如不一致，说明受到

ARP欺骗攻击，攻击主机的MAC地址即为00-00-00-00-00-01。

有时，在查看ARP表时会发现有相同MAC对应多个IP的情况，此现象一般也是网络中存

在ARP攻击所致：

C:\Documents and Settings\p94997>arp -a 

Interface: 192.168.16.2 --- 0x2 

Internet Address Physical Address Type 

192.168.16.1 00-00-00-00-00-01 dynamic 

192.168.16.2  00-00-00-00-00-02dynamic 

192.168.16.3  00-00-00-00-00-02 dynamic 

192.168.16.4  00-00-00-00-00-02 dynamic 

1.2 UNIX系统

同理，网络不通时查看主机的ARP缓存

2、2  网关设备侧攻击识别

如发现网关设备（通常都为三层交换机）下挂的主机存在ping网关不通，无法访问外网

的情况，则可通过以下步骤来判断是否受到ARP攻击：

2.1  查看设备日志

<S3528>display logbuffer 

Logging Buffer Configuration and contents: 

enabled 

allowed max buffer size : 1024 

actual buffer size : 256 

channel number : 4 , channel name : logbuffer 

dropped messages : 0 

overwrote messages : 13003 

current messages : 256 

%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co 

llision detected, sourced by 00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e 

48-573b on Ethernet0/10 of VLAN10 

//ARP冲突告警：检测到IP地址10.254.200.169冲突，引起冲突的MAC地址为00b0-d0d1-5668 

（从Ethernet0/8 VLAN10学习到）和0030-6e48-573b（从Ethernet0/10 VLAN10学习到）

%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co 

llision detected, sourced by 0030-6e48-573b on Ethernet0/10 of VLAN10 and 00b0-d 

0d1-5668on Ethernet0/8 of VLAN10 

//ARP冲突告警：检测到IP地址10.254.200.169冲突，引起冲突的MAC地址为00b0-d0d1-5668 （从

Ethernet0/8 VLAN10学习到）和0030-6e48-573b（从Ethernet0/10 VLAN10学习到） 

%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co 

llision detected, sourced by00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e 

48-573b on Ethernet0/10 of VLAN10 

//ARP冲突告警：检测到IP地址10.254.200.169冲突，引起冲突的MAC地址为00b0-d0d1-5668 （从

Ethernet0/8 VLAN10学习到）和0030-6e48-573b（从Ethernet0/10 VLAN10学习到） 

%May 4 11:54:56 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.170 co 

llision detected, sourced by 0030-6e48-47d3 on Ethernet0/8 of VLAN10 and 00b0-d0 

d1-5668on Ethernet0/8 of VLAN10 

//ARP冲突告警：检测到IP地址10.254.200.170冲突，引起冲突的MAC地址为00b0-d0d1-5668 （从

Ethernet0/8 VLAN10学习到）和0030-6e48-573b（从Ethernet0/10 VLAN10学习到）

查看日志发现有大量密集的IP地址冲突告警，发生冲突的IP可能在变化（如10.254.200.169

与10.254.200.170），但是发生冲突的某个MAC地址（00b0-d0d1-5668）始终不变，则可判

定存在ARP攻击，须查出攻击主机（mac：00b0-d0d1-5668）加以处理。 

2.2  查看设备的ARP表

<S8508>display arp 

Type: S-Static D-Dynamic 

IP Address MAC Address VLAN ID Port Name Aging Type 

10.175.2.161  0011-253e-5bee100  Ethernet0/1/51 D 

10.175.2.165  0011-253e-5bee100  Ethernet0/1/5  2 D 

10.175.2.166  0011-253e-5bee100  Ethernet0/1/5  2 D 

10.175.2.167  0011-253e-5bee100  Ethernet0/1/5  2 D 

10.175.2.168  0011-253e-5bee100  Ethernet0/1/5 3 D 

10.175.2.169  0011-253e-5bee100  Ethernet0/1/5  3 D 

10.175.2.170  0011-253e-5bee 100  Ethernet0/1/5  3 D 

10.175.2.176  0011-253e-5bee100  Ethernet0/1/5  5 D 

10.175.2.177  0011-253e-5bee100  Ethernet0/1/5  5 D 

10.175.2.181  0011-253e-5bee 100  Ethernet0/1/5  7 D 

10.175.2.254  0011-253e-5bee100  Ethernet0/1/5  8 D 

10.175.2.5  0011-253e-5bee100  Ethernet0/1/5  9 D 

10.175.2.6  0011-253e-5bee 100  Ethernet0/1/5  9 D 

10.175.2.11  0011-253e-5bee100  Ethernet0/1/5  10 D 

10.175.2.12  0011-253e-5bee100  Ethernet0/1/5  10 D 

10.175.2.120 0011-110c-43dc 100 Ethernet0/1/1 10 D 

10.175.2.17  0011-253e-5bee100  Ethernet0/1/5  11 D 

10.175.2.15 0030-6e06-311e 100 Ethernet1/1/24 11 D 

10.175.2.18  0011-253e-5bee 100  Ethernet0/1/5  11 D 

10.175.2.19  0011-253e-5bee100  Ethernet0/1/5  11 D 

10.175.2.95 0040-0515-0b7b 100 Ethernet0/1/1 11 D 

10.175.2.88 00d0-c958-6395 100 Ethernet1/1/47 13 D 

10.175.2.84 00d0-c958-6455 100 Ethernet0/1/32 14 D 

…………

如果发现存在多个IP（一般这些IP都同属一个网段）对应一个MAC、且对应的交换机

端口为下行端口的现象，也可判定网络中存在ARP攻击，需查找出攻击主机（mac：

0011-253e-5bee）做相应处理。

2.3  在S6500上查看ARP攻击

进入隐含模式

[6505B]en 

[6505B-testdiag]catch rxtx by sa slot 0  // 打开开关统计上送CPU的报文   

Slot 0: information of Module RxTx 

[6505B-testdiag]catch rxtx end slot 0 //间隔10s后再敲以下命令关闭并显示结果 

Slot 0: information of Module RxTx 

The Catch Result of SA is : 

e02101177a -------- 738

46148b0c9 -------- 212 

e04c9925c6 -------- 392 

1617b4294d -------- 76 

e019094b15 -------- 9 

1422c3261 -------- 820 

a0c9ef9ba1 -------- 1152

c76a028f0 -------- 89 

4619a4162 -------- 1190

461451295 -------- 853 

1a4d664c2b -------- 423 

16ec6c792 -------- 702 

e04c4a6421 -------- 27 

aeb534b32 -------- 138 

00e0a004dd95 -------- 759 

此方法可快速定位arp攻击主机，10s内上送CPU报文个数超过1000的mac都比较异常，

应将此类mac对应的主机查找出来加以处理。

2.4  查找攻击主机

首先在网关交换机上查找攻击主机的MAC地址：

<S3528>display mac 00b0-d0d1-5668

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 

00b0-d0d1-566810 Learned Ethernet0/8 230 

判断该mac地址是从Ethernet0/8端口学习到的，如果该端口是直接接主机的，则其下挂主

机就是攻击主机；

如果Ethernet0/8端口下还级联了交换机，则登陆下层交换机继续查找，直至找到该主机

为止：

<nS2016> display mac 00b0-d0d1-5668

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 

00b0-d0d1-566810 Learned Ethernet0/13 200