arp miss攻击_S交换机有ARP Miss告警，怎么办？

S交换机有ARP Miss告警，怎么办/p>

先弄明白ARP Miss是怎么产生的：

设备在转发 文时，如果 文的目的地址和设备三层接口地址在同一个 段，正常情况下会查找arp进行直接转发，如果查找不到arp表项，就会上送CPU触发ARP-MISS流程来学习ARP。

上层软件收到ARP Miss消息后，首先生成一个ARP假表项发送给设备，防止相同的ARP Miss消息不断上 ；然后上层软件发送ARP请求 文，在收到回应后，用学习到的ARP表项替换原有的假表项发送给设备，流量可以正常转发。

动态ARP假表项有一个老化时间，在老化时间之内，设备不再向上层软件发送ARP Miss消息。老化时间超时后，假表项被清除，设备转发时再次匹配不到对应的ARP表项，重新生成ARP Miss消息上 给上层软件。如此循环重复。

对于同一个源IP发送的触发ARP-MISS流程 文，一秒钟内如果超过门限值(默认为5个)，系统会认为这是一种非法的*** 文，就会针对该ip地址下发一条ACL规则，丢弃该源IP发送的所有需要上送CPU处理的 文；如果50s之内系统没有再次检测到该源ip发送的 文有arp-miss超过门限的情况，该ACL规则会自动删除，触发arp-miss流程的 文可以继续上送CPU处理

ARP Miss告警示例：

May  8 2014 18:02:00 7706-A %%01SECE/4/ARPMISS(l)[13]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/17, SourceIP=10.0.1.202, AttackPackets=92 packets per second)

May  8 2014 18:01:47 7706-A %%01SECE/4/ARPMISS(l)[14]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/14, SourceIP=10.0.1.22, AttackPackets=6 packets per second)

SECE/4/ARPMISS

日志信息

SECE/4/ARPMISS: Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=[STRING], SourceIP=[STRING], AttackPackets=[ULONG] packets per second)

日志含义

超过了整机arp-miss限速值。

日志参数

参数名称参数含义

[STRING]

接口名。

[STRING]

*** 文的源ip地址。

[ULONG]

***源 文数率(单位pps)。

可能原因

***用户发送arp－miss消息数超过了限速值。

处理步骤

系统视图下执行命令display this查看arp-miss消息速率检查值。

系统视图下执行命令arp-miss anti-attack rate-limit packet-number [ interval-value ]重新配置速率检查值。

如果日志产生频繁请联系华为技术支持工程师，否则不用处理。

相关资源：国标软件设计文档(操作手册(GB8567——88),测试分析 告(GB8567…