某地市DHCP攻击导致新建热点AP上线慢

某地市新建WLAN新建热点AP上线速度慢,每个热点AP上线时间为3-4个小时,AP成功上线后不掉线且业务可正常运行.某地市WLAN为AC旁挂式三层组网隧道转发,AC使用BAS集成AC的ME60-X3,版本号v600r002c02spc800;汇聚交换机型号为华为S9306,版本号V100R002C00spc200

无

1. 登录SW9306上，通过命令行“display mac-address dynamic vlan ***”查看问题AP的MAC表项，发现汇聚交换机上可学到AP的MAC地址,说明汇聚交换机和AP二层链路互通.
2. 登陆ME60-X3,利用命令行“display ip pool name *** used”查看问题AP所在AP管理地址池的使用情况,发现地址池未耗尽且问题AP没有分得IP地址,3-4小时后AP可获得IP地址且可以上线,说明问题出在AP获取IP地址过程缓慢.
3. 在POE交换机上对AP报文分析,发现只有发出的DHCP discover报文,没有收到的DHCP offer报文.
4. 登陆SW9306,使用命令行“display cpu-defend statistics all”查看CPCAR使用情况,发现SLOT 1上dhcp-client端流量非常大,且丢包严重,连续两次使用命令行“display cpu-defend statistics slot 1”,结果如下:

第一次:
Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)
dhcp-client 73740848172 10548268875k 200926476 30133544374
第二次:
Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)
dhcp-client 73742813772 10548651107k 200932092 30134636292

1. 使用命令行“display interface gigaethernet ***”分别查看SW9306的下行口,发现某一下行口有大量广播报文流量.故可判断该端口有大量无用DHCP广播报文上送cpu,由于cpu的通道限速,导致其它新建热点的有用DHCP报文无法顺利到达ME60-X3,从而无法及时获取地址,上线过程缓慢.大量DHCP无用报文可能是MAC环路漂移或者DHCP泛洪攻击造成的.
2. 通过命令行“mac-flapping check enable”打开mac环路漂移检测功能,通过命令行“display mac-flapping statistics”查看环路漂移情况,发现无MAC漂移,可排除MAC环路因素.
3. 在SW9306的问题下行口抓包,发现在同一时间有大量DHCP广播报文由同一MAC地址发出,可确定该MAC为DHCP 泛洪攻击源.
4. 一方面通过创建二层ACL,将该MAC地址列为黑名单来屏蔽该攻击源,另一方面排查热点,找出攻击源,对热点进行整改.

AP无法上线首先判断AP是否获取IP地址,若已获取IP地址,则检查CAPWAP隧道是否建立成功,若未获取IP地址则检查中间二层链路,二层链路也没问题的话,将问题锁定在DHCP报文交互过程.可有线侧抓包或debug dhcp查看DHCP报文

运营商WLAN热点的POE交换机建议只应用在WLAN上,不可下连PC.
汇聚交换机可通过cpu-defend控制报文上送CPU的速率,使攻击得以抑制,但同时也会使有用报文丢弃
出现AP无法上线的情况,首先判断AP是否获取到IP地址,如未获取到IP地址,优先使用debug dhcp或有线侧报文分析DHCP报文异常.