更新时间:2024-06-13 GMT+08:00
ALM-303046945 系统检测到企图修改ARP表项的攻击报文
告警解释
SECE/4/ARP_ENTRY_CHECK:OID=[OID] Arp entry attack.(SourceInterface=[OCTET], SourceIP=[OCTET], SourceMAC=[OCTET], PVLAN=[INTEGER], CVLAN=[INTEGER])
系统检测到企图修改ARP表项的攻击报文时,会发出告警。
告警属性
|
告警ID |
告警级别 |
告警类型 |
|---|---|---|
|
303046945 |
提示 |
设备告警 |
告警参数
|
参数名称 |
参数含义 |
|---|---|
|
OID |
该告警所对应的MIB节点号 |
|
SourceInterface |
报文源IP |
|
SourceIP |
攻击用户的源IP地址 |
|
SourceMAC |
报文源MAC |
|
PVLAN |
报文外层VLAN |
|
CVLAN |
报文内层VLAN |
对系统的影响
如果产生了该告警,用户在设备上的arp表项可能被刷新成攻击者的arp表项,导致用户流量被攻击者截取,用户业务中断。
可能原因
设备受到企图修改ARP表项的报文攻击。
处理步骤
- 根据告警信息中的Interface信息找到发生攻击的接口。
- 查看该接口下的用户接入情况,是否有不在dhcp snooping绑定表范围内的用户接入。
- 如果有新用户加入,请先配置dhcp snooping相关命令生成绑定表。根据告警信息中的SourceInterface找到发生网关冲突攻击的接口。
参考信息
无
父主题: WAC&AP告警
