设为首页收藏本站
切换到窄版

博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
博威---云架构决胜云计算»广场 云安全 CHECK POINT云安全 一个处理ARP欺骗的故障记录,供大家分享
返回列表 发新帖
查看: 2690|回复: 2

一个处理ARP欺骗的故障记录,供大家分享

[复制链接]
发表于 2007-10-5 04:04:21 | 显示全部楼层 |阅读模式
一个处理ARP欺骗的故障记录,供大家分享

1#到XX机房,用console连接到核心交换机Cat3550,查看vlan160的状态,是正常的;
ping 10.48.160.2,不通,ping 10.48.168.68是通的,表明这个故障仅限于160 VLAN。



2#怀疑是二层的攻击或者是病毒引起的该故障;用show ip cache flow检查流量状态,发现10.48.178.54、10.48.181.12、10.48.168.68、10.48.168.87有利用TCP 137端口扫描局域网内部地址,判断有病毒,因此进行关闭端口的处理。

处理结果如下:
10.48.1.2 fa0/24 10.48.178.54
10.48.1.3 fa0/5  10.48.181.12
10.48.1.102 fa0/24 10.48.168.68



4#再次ping 10.48.160.2还是不通,但用show ip arp可以看到10.48.160.2的ARP记录,表明该机器是开着的,怀疑是160网段内的木马爆发或者是ARP攻击行为导致,因此再次查看sh ip cache flow信息。发现有如下机器有广播行为:
Vl160         10.48.160.2     Null          10.48.160.255   11 0089 0089     3
Vl160         10.48.160.7     Null          10.48.160.255   11 0089 0089     3
Vl168         10.48.168.38    Null          10.48.168.255   11 008A 008A     1
Vl160         10.48.160.27    Null          10.48.160.255   11 0089 0089     9
Vl168         10.48.168.212   Null          10.48.168.255   11 008A 008A     1
Vl168         10.48.168.83    Null          10.48.168.255   11 0089 0089     9
Vl160         10.48.160.96    Null          10.48.160.255   11 0089 0089     1
Vl160         10.48.160.115   Null          10.48.160.255   11 0089 0089     6
Vl160         10.48.160.82    Null          10.48.160.255   11 0089 0089     1
Vl160         10.48.160.191   Null          10.48.160.255   11 008A 008A     1
Vl160         10.48.160.181   Null          10.48.160.255   11 008A 008A     1
Vl160         10.48.160.181   Null          10.48.160.255   11 0089 0089    12
Vl168         10.48.168.87    Null          10.48.163.231   06 0D8B 008B     1
Vl160         10.48.160.131   Null          10.48.160.255   11 0089 0089     3
Vl160         10.48.160.133   Null          10.48.160.255   11 0089 0089     3
Vl160         10.48.160.135   Null          10.48.160.255   11 0089 0089     3



5#发现广播现象不严重,尝试着中断了几个客户端也无法恢复160段内的畅通,需要进一步分析原因。


6#考虑用show ip arp可以看到160段内的机器,因此肯定物理层是没有问题,而且ARP也工作正常,只是IP层不通,导致无法ping通10.48.160.254,因此可以断定为这个故障就出现在ARP这个环节上,网络内部肯定有扰乱ARP表的客户端。

  
7#用show ip arp | in 10.48.160仔细观察结果发现:
Internet  10.48.160.156           0   0011.43b0.ddc0  ARPA   Vlan160
Internet  10.48.160.146           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.147           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.144          13   0011.43af.f09a  ARPA   Vlan160
Internet  10.48.160.150           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.148           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.142           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.143           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.141           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.130           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.131           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.129           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.134           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.135           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.132           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.133           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.184           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.185           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.191           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.189           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.179           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.176           0   Incomplete      ARPA   
Internet  10.48.160.180           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.181           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.175           0   Incomplete      ARPA   
Internet  10.48.160.162           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.163           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.160           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.165           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.222           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.220           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.211           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.215           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.203           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.201           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.204           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.205           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.194           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.192           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.193          13   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.254           -   0014.69ba.8d00  ARPA   Vlan160
Internet  10.48.160.231           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.228           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.26            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.27            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.24            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.28            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.29            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.16            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.23            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.11            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.9             0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.14            0   Incomplete      ARPA   
Internet  10.48.160.2             0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.6             8   0011.43ae.e115  ARPA   Vlan160
Internet  10.48.160.7             6   0011.43ae.e0d3  ARPA   Vlan160
Internet  10.48.160.57            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.55            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.38            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.39            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.36            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.90            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.82            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.81            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.86            0   Incomplete      ARPA   
Internet  10.48.160.84            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.85            0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.74            0   0011.43b2.c594  ARPA   Vlan160
绝大部分的160段的机器IP地址都被同样的MAC地址,因此网段内有ARP攻击行为,用这个MAC地址查找端口。

10#查找结果如下:
10.48.1.6 fa0/27
将端口关闭,再回到核心交换机查看ARP信息状态。
SHTL_SW_Center1#sh ip arp | in 10.48.160
Internet  10.48.160.156           0   0011.43b0.ddc0  ARPA   Vlan160
Internet  10.48.160.146           0   0011.43b2.76da  ARPA   Vlan160
Internet  10.48.160.144           0   0011.43af.f09a  ARPA   Vlan160
Internet  10.48.160.150           0   0011.0ac3.fb1c  ARPA   Vlan160
Internet  10.48.160.143           0   0011.43b2.b165  ARPA   Vlan160
Internet  10.48.160.130           0   0011.43b2.c992  ARPA   Vlan160
Internet  10.48.160.133           0   0011.43b0.e2b5  ARPA   Vlan160
Internet  10.48.160.191           0   0011.43b0.cc1a  ARPA   Vlan160
Internet  10.48.160.179           0   000e.7fe4.2d4c  ARPA   Vlan160
Internet  10.48.160.180           0   000f.b5dd.9214  ARPA   Vlan160
Internet  10.48.160.160           0   0011.43b1.365d  ARPA   Vlan160
Internet  10.48.160.165           0   0011.0ac3.eb2d  ARPA   Vlan160
Internet  10.48.160.220           0   000f.b5dc.5ef9  ARPA   Vlan160
Internet  10.48.160.221           0   Incomplete      ARPA   
Internet  10.48.160.215           0   0011.43af.f020  ARPA   Vlan160
Internet  10.48.160.203           0   0011.43b0.d5e6  ARPA   Vlan160
Internet  10.48.160.194           0   0011.0ac0.1e7e  ARPA   Vlan160
Internet  10.48.160.192           0   0011.43b3.238d  ARPA   Vlan160
Internet  10.48.160.193           0   Incomplete      ARPA   
Internet  10.48.160.254           -   0014.69ba.8d00  ARPA   Vlan160
Internet  10.48.160.228           0   000f.b5dc.5ef2  ARPA   Vlan160
Internet  10.48.160.26            0   0011.43aa.d71e  ARPA   Vlan160
Internet  10.48.160.28            0   0011.43b2.b172  ARPA   Vlan160
恢复正常,从客户端ping 10.48.160.254通了,并且互联网也可以上了。

11#总结:当发现局域网某个网段内的无法ping通网关的情形,可能有很多中原因发生,这时候需要冷静的分析原因,按照OSI 7层模型分析一下,然后检查该层的信息,并且仔细查看show出来的结果,都很有可能有意外的收获。
回复

使用道具 举报

 楼主| 发表于 2007-10-5 04:06:24 | 显示全部楼层
首先:
Internet  10.48.160.163           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.160           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.165           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.222           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.220           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.211           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.215           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.203           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.201           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.204           0   0011.43b2.c594  ARPA   Vlan160
Internet  10.48.160.205           0   0011.43b2.c594  ARPA   Vlan160
这里你可以看到 很多地址使用同一个MAC作为地址,明显是ARP欺骗,导致VLAN160网段出现故障,排查既然已经找到了这个MAC 那么再交换机上面使用SHOW MAC-ADDRESS. FOR TALBE 命令就可以最终找到这个MAC所在的交换机端口,那么你也就找到了这个故障主机 SHOWDOWN这个端口就可以了。
回复 支持 反对

使用道具 举报

hisoka
发表于 2008-3-23 17:56:29 | 显示全部楼层
hao  dong  xi ....回公司试试
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 11:18 , Processed in 0.101341 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表