華網國際股份有限公司

[fae]

Hiper路由器本身有syslog 資料,當這些資料出現時,我們該如何去即時處理解決網路上的發生問題,以下就介紹Syslog 所代表的涵意:
打開Hiper 路由器的系統狀態->系統信息->系統歷史紀錄:

(一）紀錄消息：
Ethernet Up {ie0 | ie1 | ie2}

消息說明：
Ethernet Up ie0 */eth1口（LAN）被啟動
Ethernet Up ie1 */eth2口（WAN）被啟動
Ethernet Up ie2 */eth3口（WAN2）被啟動

可能原因：
1、設備啟動
2、修改了相關的配置（特別是通過WebUI修改了配置）

（二）紀錄消息：MAC New [MAC地址]
MAC Old [MAC地址]
ARP SPOOF [IP地址]

消息說明：
MAC New 00:e0:4c:8b:08:47 */該IP位址變化後的MAC位址
MAC Old 00:e0:4c:8b:25:eb */該IP位址變化前的MAC位址
ARP SPOOF 192.168.1.26 */IP位址192.168.16.221的MAC位址發生變化
可能原因：
1、某內網設備安裝了雙網卡：某些網路內部的伺服器安裝了雙網卡，並且使用了雙網卡捆綁軟體，將兩塊網卡綁定在同一個IP位址上以提高伺服器的網路吞吐能力，因為兩塊網卡的MAC位址不同，所以在HiPER的歷史記錄裏面可以看到多條（每條資訊的MAC Old和MAC New和下一條相同）該IP位址的MAC位址變化資訊
2、某網路設備的MAC位址發生變化：網路內部某個設備更換了網卡（或者修改了MAC位址），在HiPER的歷史記錄裏面可以看到一條該IP位址的MAC位址變化資訊。

3、ARP欺騙攻擊：網路內部存在“ARP病毒/P2P終結者”等ARP欺騙木馬，在HiPER的歷史記錄裏面看到多條（每條資訊的MAC Old相同或每條資訊的MAC New相同）該IP位址的MAC位址變化資訊。

（三）紀錄消息：MAC New [MAC地址]
IP InUse [IP地址]

消息說明：
MAC New 00:e0:4c:8b:08:47 */該IP地址當前的MAC地址
IP InUse 192.168.1.26 */IP地址192.168.1.26衝突

可能成因：
1、網路內部存在ARP欺騙，但是因為設備上綁定了用戶的IP/MAC位址，所以欺騙對HiPER無效。需要注意的是，ARP欺騙對內網的主機同樣起到欺騙作用，如果此時PC上也綁定了HiPER的IP/MAC地址，則ARP欺騙不起作用。
2、網路內部存在兩台IP位址一樣，但是MAC位址不同的網路設備。

（四）紀錄消息：ARP SPOOF [MAC地址]
IP InUse [IP地址]

消息說明：

ARP SPOOF 00:22:aa:40:17:11 */該IP地址當前的MAC地址
IP InUse 192.168.1.1 */IP地址192.168.1.1衝突

這個消息和樓上的消息類似，如果IP InUse後面的IP地址就是HiPER的LAN口IP地址，有兩個可能性：
1、網路內部有其他網路設備也配置了192.168.1.1的IP位址，和HiPER的LAN口衝突。
2、網路存在ARP欺騙。
以上兩點，如果網內的主機和HiPER之間相互綁定了ARP資訊的話，則不受影響。

（五）紀錄消息：DHCP:IP conflicted arp: [IP地址]

消息說明：
DHCP:IP conflicted arp:192.168.16.47 */DHCP地址衝突

可能成因：
HiPER的DHCP Server在準備分配IP地址192.168.16.47給某用戶時，發現該IP地址在內網已經存在，系統會分配再次分配其他IP地址給用戶

（六）紀錄消息：NAT exceeded [IP地址]

消息說明：
NAT exceeded 192.168.16.221 */用戶192.168.16.221的NAT會話session超出預設限制,超限大多是客戶在使用P2P軟體所致,還有另外一種就是該電腦中毒後,對外發送大量的連線封包所致.

（七）紀錄消息：Route Up [IP地址]/{eth2 | eth3}
Route down [IP地址]/{eth2 | eth3}
eth2--WAN埠
eth3--WAN2埠

消息說明：
Route Down 221.12.134.145/et+ */該物理埠上所配置的路由中斷（一般是該埠的物理線路中斷所致）
Route Up 221.12.134.145/et+ */該物理埠上所配置的路由生效（一般是該埠的物理線路啟動所致）

可能成因：
1、雙線路固定/動態IP接入的時候，配置的檢測手段發現線路符合中斷的條件的時候，系統將會該線路路由中斷，系統顯示Route Down ethX消息。
2、雙線路固定/動態IP接入線路中斷的時候，配置的檢測手段發現線路符合的恢復條件的時候，系統將會該線路路由恢復，系統顯示Route Up ethX消息。

（九）紀錄消息：
ARP exceeded [IP地址]

消息說明：
ARP exceeded 192.168.18.254 */192.168.18.254的ARP請求超過系統限制

HiPER產品在出廠的時候定義了ARP表的最大數量，當超過這個限制的時候系統會出此資訊。
可能成因：
1、網內主機數量超過系統的限制的ARP表最大值，超過的IP位址將被顯示出來，此時該用戶將無法通過HiPER上網。
2、網路內部有人使用ARP DoS軟體，此時在Webui--系統狀態--用戶統計，用戶管理中可以觀察此主機發送的廣播包數量很大，攻擊的時候，因為ARP表已滿，將影響新用戶通過HiPER上網。
3、網路內部有人使用ARP 掃描軟體（P2P終結者等），發出很多ARP查詢查找線上主機。此時在Webui--系統狀態--用戶統計，用戶管理中可以觀察使用掃描軟體的主機發送的廣播包數量很大，掃描的時候，因為ARP表已滿，將影響新用戶通過HiPER上網[/b]