1、查看日志信息：display logbuffer
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根據(jù)日志信息記錄的攻擊者的MAC地址查找MAC地址表，從而獲取到攻擊源所在的端口，通過(guò)網(wǎng)絡(luò)進(jìn)一步排查，定位出攻擊源，為PC中毒所致。PC假冒網(wǎng)關(guān)向同網(wǎng)段設(shè)備請(qǐng)求IP。

 

 

攻擊者設(shè)置主機(jī)靜態(tài)IP地址時(shí)，把主機(jī)地址設(shè)置成網(wǎng)關(guān)地址。在主機(jī)設(shè)置靜態(tài)IP地址后，會(huì)發(fā)送免費(fèi)ARP報(bào)文在局域網(wǎng)內(nèi)進(jìn)行通告，該局域網(wǎng)內(nèi)其他PC機(jī)收到此報(bào)文后，會(huì)修改自身的網(wǎng)關(guān)ARP表項(xiàng)，修改網(wǎng)關(guān)MAC為攻擊者M(jìn)AC，導(dǎo)致該局域網(wǎng)內(nèi)所有用戶無(wú)法正常使用網(wǎng)絡(luò)，網(wǎng)絡(luò)中斷。當(dāng)攻擊者頻繁發(fā)送源IP地址為網(wǎng)關(guān)地址的免費(fèi)ARP報(bào)文，即使網(wǎng)關(guān)設(shè)備收到此報(bào)文能夠通知局域網(wǎng)內(nèi)正常主機(jī)把網(wǎng)關(guān)搶回，但是主機(jī)網(wǎng)關(guān)MAC地址頻繁切換也會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。