步骤3、检查是否存在IP扫描。

检查方法：

执行show arp ，show arp counter

Ruijie#sh arp

  Internet  125.39.113.32    <--->     <Incomplete>    arpa   GigabitEthernet 0/22

  Internet  125.39.113.35    <--->     <Incomplete>    arpa   GigabitEthernet 0/22

  Internet  125.39.113.37    <--->     <Incomplete>    arpa   GigabitEthernet 0/22

  Internet  125.39.113.38    <--->     <Incomplete>    arpa   GigabitEthernet 0/22

  Internet  125.39.113.34    <--->     <Incomplete>    arpa   GigabitEthernet 0/22

 

Ruijie#sh arp counter

Count of static entries:  1

Count of dynamic entries: 3486 (complete: 3607  incomplete: 221)

Total:                    3487

 

 

检查标准：

查看ARP表项及ARP统计中是否存在大量未解析(incomplete)的IP，且地址连续。

如果发现网络中存在如上现象，证明网络中存在IP扫描的行为,并可以在1个TRUNK口连接PC捉包确认是否捉到交换机发出的请求不同用户ARP的大量报文。

 

解决方法：

针对扫描行为，可以部署交换机防扫描功能来进行改善。

·    支持NFPP的交换机：（IP-guard功能默认开启，在部分场景中此功能被关闭的可以尝试重新开启）

Step 1 Ruijie(config)#nfpp 进入NFPP 配置模式。

Step 2 Ruijie(config-nfpp)#ip-guard enable 全局打开IP 防扫描功能，缺省情况下打开。

Step 3 Ruijie#show nfpp ip-guard hosts  查看已被检测到攻击的主机

     对于NFPP的硬件隔离功能（默认不开启） 如需开启，需要跟客户沟通明确在IP扫描的情况下，开启硬件隔离，判断为攻击的PC端会导致无法通讯（默认隔离10分钟）

·    不支持NFPP的交换机，一般均支持system-guard功能（和NFPP中的IP-Guard功能一致）

Step 1 Ruijie(config)#interface interface-id（路由口）

Step 2 Ruijie(config-interface)#system-guard enable  打开IP 防扫描功能，缺省情况下未开启。

Step 3 Ruijie#show system-guard isolated-ip  查看已被检测到攻击的主机

       对于攻击的源头如果需要找到并解决，则需要定位攻击源端口（通过IP、ARP、MAC、端口的对应关系或端口镜像捉包确认）

1) 通过查看LOG，查看syslog中的日志提示信息是否包含异常报文源（IP、MAC地址）。

2) 通过镜像可疑端口的报文，获取异常报文源（IP、MAC地址），当端口报文量过大时，可采取基于流的镜像或使用Wireshark的过滤功能进行过滤。

3) 通过查看交换机ARP表、MAC表找出异常报文对应的来源交换机端口。

当以上解决方法均无法解决问题时，请参照步骤4继续进行排查。