ALM-3276800476 接口上丢弃与绑定表不匹配的DHCP Request报文数目超过阈值

告警解释

DHCP/1/REQUESTTRAP:OID [OID] The number of the discarded DHCP request packets that do not match the binding table exceeds the threshold on the interface. (IfIndex=[INTEGER], VlanIndex=[INTEGER], Interface=[OCTET], VlanID=[INTEGER], BdID=[INTEGER], DiscardedNumber=[INTEGER])

接口上丢弃与绑定表不匹配的DHCP Request报文数目超过阈值。

告警属性

告警参数

对系统的影响

丢弃非法DHCP报文。

可能原因

收到仿冒DHCP用户的攻击。

处理步骤

1. 执行命令display dhcp snooping user-bind，查看接口下DHCP Snooping绑定表信息，确定用户IP地址和MAC地址。

2. 使用端口镜像方式获取此接口收到的DHCP Request报文，查看与绑定表不匹配的DHCP报文的用户IP地址和MAC地址。

   • 如果接口下某用户发送大量与绑定表不匹配的DHCP Request报文，则用户为非法用户，发送的DHCP报文为攻击报文，此时攻击报文已经被丢弃，请根据该用户地址或MAC地址排查攻击源头。

   • 如果接口下用户没有大量发送与绑定表不匹配的DHCP Request报文，则用户发送的DHCP报文非攻击报文，如果需要让该用户通过检查，考虑是否需要取消端口下dhcp snooping check dhcp-request enable命令配置。

参考信息

无