Step 11 Ruijie(分配IF) Step 12 Ruijie#show nfpp arp-guard summary Step 13 Ruijie#copy running-config startup-config 重提特点方式。 反省分配限度局限因素 控制分配。 口岸限速鉴定围捕

每个接合都有限速规则和围捕工资极限的。,限速规则必不可少的事物上面的围捕工资极限的。。当接合的ARP音讯超越限速规则时,放纵ARP音讯。术语接合的ARP音讯超越围捕工资极限的,日记将记载在日记中。,发送牢牢抓住。 当接合遭遇ARP拒绝服务围捕时,跺脚正告书信的体式如次:

%NFPP_ARP_GUARD-4-PORT_ATTACKED: ARP DoS attack was detected on port Gi4/1. (2009-07-01 13:00:00) 发送到牢牢抓住音讯的消息使具体化以下象征书信: ARP DoS attack was detected on port Gi4/1.

管理员可以在nfpp分配方式和接合分配方式下举行分配。

Step 1 Step 2 Step 3 Step 4

命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard rate-limit per-port pps Ruijie(config-nfpp)#arp-guard attack-threshold per-port pps Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(CONFIG)接合 interface-name Ruijie(config-if)#nfpp arp-guard policy per-port rate-limit-pps attack-threshold-pps 进入大局分配方式。 进入NFPP分配方式 限度局限每个接合的ARP音讯排挡。 数值代替物为1至9999。,Windows 默许值为100。。 分配围捕工资极限的,当接合的ARP音讯超越工资极限的时,日记记载,发送牢牢抓住。 数值代替物为1至9999。,Windows 默许值为200。。 重提特点方式。 进入大局分配方式。 探望接合分配方式。 效能 Step 5 Step 6 Step 7 Step 8

分配本地新闻排挡线和规则,它只对分配所属的接合见效。。 限速PPS是限速水管线,数值代替物为1至9999。。 围捕工资极限的PPS是规则,数值代替物为1至9999。。 默许影响下,接合不小心本身的限速规则。,运用全球排挡线和规则。 Step 9

Ruijie(分配IF) 重提特点方式。 反省分配限度局限因素 控制分配。 Step 10 Ruijie#show nfpp arp-guard summary Step 11 Ruijie#copy running-config startup-config

? 本MAC地址排挡限度局限的优先考虑的事高于IP地址排挡,本IP地址的排挡限度局限高于基址。

口岸限速。

? 为了使ARP防腐剂围捕,走快冠的抗围捕发生。,提议管理员分配限速规则B

? 小心 遵照饰带的道德标准:

本IP地址的限速规则 < 本IP地址的告警规则 < 本源MAC地址的限速规则 < 本源MAC地址的告警规则。

? 分配口岸限速规则,您可以在这么地接合上援用主人的总量。,譬如,接合上有500个

台主人,后来地,接合的限速规则可以设置为500。。

重新安装搜集主人

主人已在一段时期后不自觉动作回复。,术语管理员要求手工生产清算主人,可以在特点方式下用以下命令重新安装。

Step 1

命令 Ruijie#clear nfpp arp-guard hosts [替别人占领土地把编排到广播网联播] VID] [交谈] interface-id] [ IP地址] | mac-address] 效能 删去财产未检测到限度局限因素的主人。,具有用于重新安装同质的限度局限因素的主人。。 重新安装ARP扫描

术语管理员要手工生产重新安装ARP扫描,可以在特点方式下用以下命令重新安装。

Step 1

命令 Ruijie#clear nfpp arp-guard scan 清空ARP扫描 效能 看ARP的反围捕书信

? 检查

ARP抗围捕分配限度局限因素 ARP扫描表

? 检查被监控主人的书信 ? 检查

检查ARP反围捕分配限度局限因素

运用窗侧 nfpp arp-guard summary检查ARP反围捕分配限度局限因素:

Step 1

命令 Ruijie#show nfpp arp-guard summary 效能 检查ARP反围捕分配限度局限因素 上面是每一范例:

Ruijie# show nfpp arp-guard summary

(体式 of column Rate-limit and Attack-threshold is per-src-ip/per-src-mac/per-port.)

Interface Status Isolate-period Rate-limit Attack-threshold Scan-threshold

Global Enable 300 4/5/60 8/10/100 15 G 0/1 Enable 180 5/-/- 8/-/- –

G 0/2 Disable 200 4/5/60 8/10/100 20

Maximum count of monitored hosts: 1000 Monitor period:300s ? 担任外场员接合代表大局的大局分配。。 ? 担任外场员陈述指导性的能否翻开了防围捕效能。。

? 担任外场员Rate-limit的体式为(对源IP地址的限速规则/对源MAC地址的限速规则/端

? 阐明

口限速规则,场围捕工资极限的的显示体式外观。不小心分配。举例阐明:

? “4/5/60”表现对源IP地址的限速规则是4,源MAC地址的限速规则为5。,

每个口岸的限速规则为60。。 ? G 0/1这当事人的估价限度局限是5。,代表G港 0/1对源IP地址的限度局限

排挡线是5,排挡限度局限规则和S的接合不小心排挡限度局限线。。

检查被监控主人的书信

Step 1 Step 2

命令 Ruijie#show nfpp arp-guard hosts statistics Ruijie#show nfpp arp-guard hosts [替别人占领土地把编排到广播网联播] VID] [交谈] interface-id] [ IP地址] | mac-address] 效能 检查监控主人表的罪状书信,包含主人总额、阻尼成的主人总量和阻尼化为乌有的主人总量。 检查已检测到围捕的主人。 显示财产未检测到究竟哪个限度局限因素的主人。,带限度局限因素只显示适合术语的主人。。 Ruijie#show nfpp arp-guard hosts statistics success fail total ——- —- —– 100 20 120

意义是:共分开出120个寄主,成分开出100的寄主,20主人阻尼毛病。。

Ruijie# show nfpp arp-guard hosts

If column 1 shows ”*”, it means \VLAN interface IP address MAC address remain-time(s) —- ——– ——— ———– ————- 1 Gi0/1 1.1.1.1 – 110 2 Gi0/2 1.1.2.1 – 61

*3 Gi0/3 – 0000.0000.1111 110 4 Gi0/4 – 0000.0000.2222 61 Total:4 hosts

Ruijie# show nfpp arp-guard hosts vlan 1 interface G 0/1 1.1.1.1

If column 1 shows ”*”, it means \VLAN interface IP address MAC address remain-time(s) —- ——– ——— ———– ————- 1 Gi0/1 1.1.1.1 – 110 Total:1 host

前述的担任外场员分岔表现VLAN号。、接合、IP地址、MAC地址,剩余时期的分开。

? 阐明

术语显示行的第一列, 此主人眼前仅是软件监督或计算机硬件毛病,鉴于I。

术语MAC 地址字段显示,此主人指导性的主人用源IP地址特色。;术语IP 地址字段显示,此主人指导性的主人用源MAC地址特色。。

看ARP扫描表

Step 1 Step 2

命令 Ruijie#show nfpp arp-guard scan statistic Ruijie#show nfpp arp-guard scan [替别人占领土地把编排到广播网联播] VID] [交谈] interface-id] [ IP地址]] [mac-address] 效能 看ARP扫描表的记载条数 看ARP扫描表的记载 无限度局限因素表现的总数ARP扫描,仅运用每一限度局限因素来显示适合以下术语的表项。 Ruijie# show nfpp arp-guard scan statistics ARP scan table has 4 记载(s) 意义是:ARP扫描有4条记载。。

Ruijie# show nfpp arp-guard scan

VLAN interface IP address MAC address timestamp —- ——– ———- ———– ———- 1 Gi0/1 N/A 0000.0000.0001 2008-01-23 16:23:10

2 Gi0/2 1.1.1.1 0000.0000.0002 2008-01-23 16:24:10 3 Gi0/3 N/A 0000.0000.0003 2008-01-23 16:25:10 4 Gi0/4 N/A 0000.0000.0004 2008-01-23 16:26:10 Total:4 记载(s)

时期戳记载检测ARP扫描的时期。,如“2008-01-23 16:23:10”表现在2008年1月23日16点23分10秒检测出ARP扫描。

Ruijie# show nfpp arp-guard scan vlan 1 interface G 0/1 0000.0000.0001

VLAN interface IP address MAC address timestamp —- ——– ———- ———– ———- 1 Gi0/1 N/A 0000.0000.0001 2008-01-23 16:23:10 Total:1 记载(s)

63.3.2 IP扫描

反扫描简介

人所共知,很大程度上黑客围捕、把编排到广播网联播病毒从把编排到广播网联播中换衣服的主人入侵。。照着,大方的的扫描消息包使从事了把编排到广播网联播带宽。,把编排到广播网联播交流不正常。 就此而论,尖的的三层装置装备抗IP围捕的效能,转移黑客扫描和围捕相似的冲击波病毒。,还可以缩减三层装置的CPU担子。 眼前发在两种次要的IP围捕典型。:

(1) 扫描IP地址的代替物。这种扫描是对把编排到广播网联播最很有害的的。,不只仅是把编排到广播网联播带宽的消费,举起

装置担子,这是黑客围捕的先声。 (2) 迅速发送IP音讯到专心的IP地址。这种围捕次要是下去装置CPU的担子。

来设计。三层装置,术语专心的IP地址在,该音讯将由序列子弹直觉的转发。,装置CPU的资源未使从事,术语专心的IP地址不在,IP音讯将被发送到CPU。,将CPU的ARP请求允许发送到与专心的IP A对应的MAC地址,术语发送CPU的音讯过于,CPU资源消费。自然,这种围捕的对女性的蔑称比高音部围捕要小得多。。 四处走动的IP地址不在,迅速IP音讯,这么地IP ATT,防护办法是一方面IP音讯的排挡限度局限,在另一方面,检测到围捕源。,采用使离析办法打击围捕源头。 本主人和物理现象层的IP围捕鉴定分为两类。主人是本源IP地址/VLAN的。 ID /物理现象接合三方鉴定器。每个围捕鉴定器都有限速规则和饰带。。当IP信息速率超越限速规则时,泛滥音讯将被放纵。。当IP信息速率超越告警线路时,跺脚正告书信,发送牢牢抓住,本主人的围捕鉴定还会采用使离析办法打击围捕源头。

需求特殊阐明的是,IP扫描指画的是专心的IP地址归咎于本机IP地址的IP信息围捕。专心的IP地址的IP音讯是本地新闻IP地址。,CPP(CPU) Protect 策略限速。 二层序列机不帮助IP扫描,仅三层序列机帮助IP扫描。

? 小心

疑似IP扫描的主人,术语在接合上翻开IP扫描效能,分配的阻尼时期

非零值,采用阻尼办法。, IP防围捕分配命令包含:

? 翻开IP扫描效能 ? 设置围捕者的阻尼时期 ? 设置围捕者的监督时期 ? 设置监控主人的最大总量 ? 本主人排挡限度局限和鉴定围捕 ? 口岸限速鉴定围捕 ? 设置未监督的准主人 ? 重新安装搜集主人

? 检查IP扫描的互插书信