Home > Database > Mysql Tutorial > [技巧]利用交换机快速查找ARP病毒的攻击源

[技巧]利用交换机快速查找ARP病毒的攻击源

WBOY
Release: 2016-06-07 15:30:03
Original
1371 people have browsed it

欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入 2. Show mac-address ------------------------------------------------------------------------------------------------------------ telnet@FES12GCF-1#sh mac-add 000b.5d4d.cb36 Total act

欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入

     2. Show mac-address
    ------------------------------------------------------------------------------------------------------------
    telnet@FES12GCF-1#sh mac-add 000b.5d4d.cb36
    Total active entries from all ports = 106
      MAC-Address    Port     Type   VLAN
    000b.5d4d.cb36      2  Dynamic    247
    --------------------------------------------------------------------------------------------------------------
         端口2下面是接一个普通的交换机,别的topology就不用了解了。
         这个样子看起来就是ARP攻击咯, 000b.5d4d.cb36这台机器作了ARP欺骗,导致所有的机器都不能正常的访问网络。
         继续追查,查一下他真实的IP,连接到DHCP Server 上面,在DHCP Scope 10.10.247.1这个上检查一下该机器:
        --------------------------------------------------------------------------------------------------------
         10.10.247.143     ZZlin   Reservation (active)  DHCP  000b5d4dcb36
       ----------------------------------------------------------------------------------------------------------
        Ping 10.10.247.143,通了,接着nbtstat -a 10.10.247.143 检查一下电脑名字是否相符, 运气不错,找到了!
        第一时间通知同事去现场查找这台有问题的机器,但为了不影响生产,还要快刀斩乱麻,先把影响降到最低。

        首先,在交换机上封掉该MAC:
        telnet@FES12GCF-1#conf t
    Warning: 1 user(s) already in config mode.
    telnet@FES12GCF-1(config)#mac filter 1 deny 000b.5d4d.cb36 ffff.ffff.ffff any
    telnet@FES12GCF-1(config)#end

        接着清空交换机的ARP缓存,让他快速重新学习正确的arp:
         telnet@FES12GCF-1#clear arp
        清空交换机的mac-address,也让他重新学习:
        telnet@FES12GCF-1#clear mac-add

        最后再次检查ARP表:
        ------------------------------------------------------------------------------------------------
       telnet@SAE-CA-B1-FES12GCF-1#sh arp
    Total number of ARP entries: 31
          IP Address          MAC Address         Type        Age       Port
    1     10.10.247.18        0060.e900.781e      Dynamic     0         2
    2     10.10.247.20        0018.8b1b.b010      Dynamic     0         2
    3     10.10.247.22        000d.60a3.77d0      Dynamic     0         2
    4     10.10.247.28        0018.8b1b.b022      Dynamic     0         2
    5     10.10.247.34        0013.7290.e52c      Dynamic     0         2
    6     10.10.247.35        0090.e804.1b2e      Dynamic     0         2
    7     10.10.247.39        00e0.4c4f.8502      Dynamic     0         2
    8     10.10.247.44        0013.729a.7eb5      Dynamic     0         2
    9     10.10.247.49        000d.6035.85c3      Dynamic     0         2
    10    10.10.247.52        0009.6bed.4cc6      Dynamic     0         2
    11    10.10.247.58        0013.728e.1210      Dynamic     0         2
    12    10.10.247.59        001d.0909.5310      Dynamic     0         2
    13    10.10.247.72        001d.0931.f0d5      Dynamic     0         2
    14    10.10.247.77        0012.3f87.ea67      Dynamic     0         2
    15    10.10.247.79        0018.8b23.09e3      Dynamic     0         2
    16    10.10.247.81        0018.8b1d.04ba      Dynamic     0         2
    17    10.10.247.82        0011.43af.b0dc      Dynamic     0         2
    18    10.10.247.88        0017.312c.40b5      Dynamic     0         2
    19    10.10.247.91        0013.728e.1a6d      Dynamic     0         2
    20    10.10.247.92        000f.8f28.d4e6      Dynamic     0         2
    21    10.10.247.95        0002.555b.3546      Dynamic     0         2
    22    10.10.247.106       0014.222a.1f64      Dynamic     0         2
    23    10.10.247.136       000d.6033.d5cd      Dynamic     0         2
        ------------------------------------------------------------------------------------------------

         看来已经恢复正常咯。

         回过头来,小结一下:
         1. 这个是一代的ARP攻击,源MAC和源IP都没有伪造,所以很容易查找,如果是二代的攻击,就不会这么轻松咯。
          希望下次有机会遇到:-)
         2. 两个小时后,同时打电话过来说找到那台pc了,没装杀毒软件,查了几十个木马出来。
         3. 划分Vlan能将影响降到最低。
         4. 杀毒和打补丁是日常工作必不可少的一部分。
         5. 交换机的选型要慎重,像上面这款Foundry FES12GCF, 除了能做静态MAC绑定, 就不能有效地预防ARP病毒的攻击。

 

  [1] [2] 

[技巧]利用交换机快速查找ARP病毒的攻击源

Related labels:
source:php.cn
Statement of this Website
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Popular Tutorials
More>
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template