欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入 2. show mac-address ------------------------------------------------------------------------------------------------------------ telnet@fes12gcf-1#sh mac-add 000b.5d4d.cb36 total act
欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入
2. show mac-address
------------------------------------------------------------------------------------------------------------
telnet@fes12gcf-1#sh mac-add 000b.5d4d.cb36
total active entries from all ports = 106
mac-address port type vlan
000b.5d4d.cb36 2 dynamic 247
--------------------------------------------------------------------------------------------------------------
端口2下面是接一个普通的交换机,别的topology就不用了解了。
这个样子看起来就是arp攻击咯, 000b.5d4d.cb36这台机器作了arp欺骗,导致所有的机器都不能正常的访问网络。
继续追查,查一下他真实的ip,连接到dhcp server 上面,在dhcp scope 10.10.247.1这个上检查一下该机器:
--------------------------------------------------------------------------------------------------------
10.10.247.143 zzlin reservation (active) dhcp 000b5d4dcb36
----------------------------------------------------------------------------------------------------------
ping 10.10.247.143,通了,接着nbtstat -a 10.10.247.143 检查一下电脑名字是否相符, 运气不错,找到了!
第一时间通知同事去现场查找这台有问题的机器,但为了不影响生产,还要快刀斩乱麻,先把影响降到最低。
首先,在交换机上封掉该mac:
telnet@fes12gcf-1#conf t
warning: 1 user(s) already in config mode.
telnet@fes12gcf-1(config)#mac filter 1 deny 000b.5d4d.cb36 ffff.ffff.ffff any
telnet@fes12gcf-1(config)#end
接着清空交换机的arp缓存,让他快速重新学习正确的arp:
telnet@fes12gcf-1#clear arp
清空交换机的mac-address,也让他重新学习:
telnet@fes12gcf-1#clear mac-add
最后再次检查arp表:
------------------------------------------------------------------------------------------------
telnet@sae-ca-b1-fes12gcf-1#sh arp
total number of arp entries: 31
ip address mac address type age port
1 10.10.247.18 0060.e900.781e dynamic 0 2
2 10.10.247.20 0018.8b1b.b010 dynamic 0 2
3 10.10.247.22 000d.60a3.77d0 dynamic 0 2
4 10.10.247.28 0018.8b1b.b022 dynamic 0 2
5 10.10.247.34 0013.7290.e52c dynamic 0 2
6 10.10.247.35 0090.e804.1b2e dynamic 0 2
7 10.10.247.39 00e0.4c4f.8502 dynamic 0 2
8 10.10.247.44 0013.729a.7eb5 dynamic 0 2
9 10.10.247.49 000d.6035.85c3 dynamic 0 2
10 10.10.247.52 0009.6bed.4cc6 dynamic 0 2
11 10.10.247.58 0013.728e.1210 dynamic 0 2
12 10.10.247.59 001d.0909.5310 dynamic 0 2
13 10.10.247.72 001d.0931.f0d5 dynamic 0 2
14 10.10.247.77 0012.3f87.ea67 dynamic 0 2
15 10.10.247.79 0018.8b23.09e3 dynamic 0 2
16 10.10.247.81 0018.8b1d.04ba dynamic 0 2
17 10.10.247.82 0011.43af.b0dc dynamic 0 2
18 10.10.247.88 0017.312c.40b5 dynamic 0 2
19 10.10.247.91 0013.728e.1a6d dynamic 0 2
20 10.10.247.92 000f.8f28.d4e6 dynamic 0 2
21 10.10.247.95 0002.555b.3546 dynamic 0 2
22 10.10.247.106 0014.222a.1f64 dynamic 0 2
23 10.10.247.136 000d.6033.d5cd dynamic 0 2
------------------------------------------------------------------------------------------------
看来已经恢复正常咯。
回过头来,小结一下:
1. 这个是一代的arp攻击,源mac和源ip都没有伪造,所以很容易查找,如果是二代的攻击,就不会这么轻松咯。
希望下次有机会遇到:-)
2. 两个小时后,同时打电话过来说找到那台pc了,没装杀毒软件,查了几十个木马出来。
3. 划分vlan能将影响降到最低。
4. 杀毒和打补丁是日常工作必不可少的一部分。
5. 交换机的选型要慎重,像上面这款foundry fes12gcf, 除了能做静态mac绑定, 就不能有效地预防arp病毒的攻击。
[1] [2]