1S系列交换机攻击处理1.1如何确定攻击类型
当设备遭受攻击时，通常伴随着如下现象：
l用户无法获取ARP。
l用户上线成功率较低。
l用户无法访问网络。
当大量用户或固定某个端口下的所有用户出现上述现象时，可以先通过如下定位手段分析是否为攻击问题。
步骤1执行命令displaycpu-usage查看设备CPU占用率的统计信息，CPUUsage表示的是CPU占用率，TaskName表示的是设备当前正在运行的任务名称。

如果CPU利用率持续较高，并且bcmRX、FTS、SOCK或者VPR任务过高（通常协议报文攻击会导致这些任务过高），则较大可能是收到的报文过多，接下来需要执行步骤2继续判断设备收到的报文类型。

一般情况下，交换机长时间运行时CPU占用率不超过80%，短时间内CPU占用率不超过95%，可认为交换机状态是正常的。
步骤2执行命令displaycpu-defendstatisticsall查看相关协议是否有CPCAR丢包、丢包是否多，并确认现网设备是否放大相关协议的CPCAR值。如果CPCAR存在大量丢包，就基本可以确认现网存在攻击，根据丢包的协议，采用相关防攻击措施。具体有哪些常见的丢包协议，请参见表1-1。

表1-1丢包协议以及相应的防攻击部署手段
PacketType
可以参考的攻击类型

arp-reply、arp-request
1.2.1ARP攻击、1.2.8TC攻击

arp-miss
1.2.2ARP-Miss攻击

dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request
1.2.3DHCP攻击

icmp
1.2.4ICMP攻击

ttl-expired
1.2.5TTL攻击

tcp
1.2.6TCP攻击

ospf
1.2.7OSPF攻击

ssh、telnet
1.2.9SSH/Telnet攻击

vrrp
1.2.10VRRP攻击

igmp
1.2.11IGMP攻击

pim
1.2.12PIM攻击

V200R003版本以及之后版本支持端口防攻击功能，对于V200R003版本以及之后版本，有可能存在这样的情况：即使Drop计数不再增长，也是有可能存在攻击的。所以对于V200R003版本以及之后版本，还需要继续执行步骤3进一步确认丢包协议。
步骤3可以通过如下两种方式确认。
方法一：在诊断视图中执行命令displayauto-port-defendstatistics[slotslot-id]查看是否有对应协议的丢包。具体有哪些常见的丢包协议，请参见表1-2。

表1-2丢包协议以及相应的防攻击部署手段
Protocol
可以参考的攻击类型

arp-reply、arp-request
1.2.1ARP攻击、1.3.8TC攻击

arp-miss
1.2.2ARP-Miss攻击

dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request
1.2.3DHCP攻击

icmp
1.2.4ICMP攻击

ttl-expired
1.2.5TTL攻击

tcp
1.2.6TCP攻击

ospf
1.2.7OSPF攻击

ssh、telnet
1.2.9SSH/Telnet攻击

vrrp
1.2.10VRRP攻击

igmp
1.2.11IGMP攻击

pim
1.2.12PIM攻击

方法二：对于历史上曾经触发过端口防攻击也可以通过日志来确定。日志格式如下，其中AttackProtocol表示的是攻击报文的协议类型。
SECE/4/PORT_ATTACK_OCCUR:Autoport-defendstarted.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])
SECE/6/PORT_ATTACK_END:Autoport-defendstop.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])
----结束
1.2根据攻击类型部署防攻击手段1.2.1ARP攻击1.2.1.1ARP泛洪攻击
攻击简介
如下图所示，局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。当网络中出现过多的ARP报文时，会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。另一方面，网络中过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。

现象描述
l网络设备CPU占有率较高，正常用户不能学习ARP甚至无法上网。
lPing不通。
l网络设备不能管理。
定位思路
定位手段
命令行
适用版本形态

查看ARP临时表项
d