[技巧]利用交换机快速查找ARP病毒的攻击源-网络通信专区

[技巧]利用交换机快速查找ARP病毒的攻击源

作者：Icefired@Netlord 编辑：唐川 2009-03-02 08:01 来源：IT168�

   2. Show mac-address
------------------------------------------------------------------------------------------------------------
telnet@FES12GCF-1#sh mac-add 000b.5d4d.cb36
Total active entries from all ports = 106
MAC-Address    Port     Type   VLAN
000b.5d4d.cb36      2 Dynamic    247
--------------------------------------------------------------------------------------------------------------
     端口2下面是接一个普通的交换机，别的topology就不用了解了。
     这个样子看起来就是ARP攻击咯， 000b.5d4d.cb36这台机器作了ARP欺骗，导致所有的机器都不能正常的访问网络。
     继续追查，查一下他真实的IP，连接到DHCP Server 上面，在DHCP Scope 10.10.247.1这个上检查一下该机器：
    --------------------------------------------------------------------------------------------------------
     10.10.247.143     ZZlin   Reservation (active) DHCP 000b5d4dcb36
   ----------------------------------------------------------------------------------------------------------
    Ping 10.10.247.143,通了，接着nbtstat -a 10.10.247.143 检查一下电脑名字是否相符，运气不错，找到了！
    第一时间通知同事去现场查找这台有问题的机器，但为了不影响生产，还要快刀斩乱麻，先把影响降到最低。

首先，在交换机上封掉该MAC:
telnet@FES12GCF-1#conf t
Warning: 1 user(s) already in config mode.
telnet@FES12GCF-1(config)#mac filter 1 deny 000b.5d4d.cb36 ffff.ffff.ffff any
telnet@FES12GCF-1(config)#end

    接着清空交换机的ARP缓存,让他快速重新学习正确的arp:
     telnet@FES12GCF-1#clear arp
    清空交换机的mac-address,也让他重新学习：
    telnet@FES12GCF-1#clear mac-add

    最后再次检查ARP表：
    ------------------------------------------------------------------------------------------------
   telnet@SAE-CA-B1-FES12GCF-1#sh arp
Total number of ARP entries: 31
      IP Address          MAC Address         Type        Age       Port
1     10.10.247.18        0060.e900.781e      Dynamic     0         2
2     10.10.247.20        0018.8b1b.b010      Dynamic     0         2
3     10.10.247.22        000d.60a3.77d0      Dynamic     0         2
4     10.10.247.28        0018.8b1b.b022      Dynamic     0         2
5     10.10.247.34        0013.7290.e52c      Dynamic     0         2
6     10.10.247.35        0090.e804.1b2e      Dynamic     0         2
7     10.10.247.39        00e0.4c4f.8502      Dynamic     0         2
8     10.10.247.44        0013.729a.7eb5      Dynamic     0         2
9     10.10.247.49        000d.6035.85c3      Dynamic     0         2
10    10.10.247.52        0009.6bed.4cc6      Dynamic     0         2
11    10.10.247.58        0013.728e.1210      Dynamic     0         2
12    10.10.247.59        001d.0909.5310      Dynamic     0         2
13    10.10.247.72        001d.0931.f0d5      Dynamic     0         2
14    10.10.247.77        0012.3f87.ea67      Dynamic     0         2
15    10.10.247.79        0018.8b23.09e3      Dynamic     0         2
16    10.10.247.81        0018.8b1d.04ba      Dynamic     0         2
17    10.10.247.82        0011.43af.b0dc      Dynamic     0         2
18    10.10.247.88        0017.312c.40b5      Dynamic     0         2
19    10.10.247.91        0013.728e.1a6d      Dynamic     0         2
20    10.10.247.92        000f.8f28.d4e6      Dynamic     0         2
21    10.10.247.95        0002.555b.3546      Dynamic     0         2
22    10.10.247.106       0014.222a.1f64      Dynamic     0         2
23    10.10.247.136       000d.6033.d5cd      Dynamic     0         2
    ------------------------------------------------------------------------------------------------

看来已经恢复正常咯。

     回过头来，小结一下：
     1. 这个是一代的ARP攻击，源MAC和源IP都没有伪造，所以很容易查找，如果是二代的攻击，就不会这么轻松咯。
      希望下次有机会遇到:-)
     2. 两个小时后，同时打电话过来说找到那台pc了，没装杀毒软件，查了几十个木马出来。
     3. 划分Vlan能将影响降到最低。
     4. 杀毒和打补丁是日常工作必不可少的一部分。
     5. 交换机的选型要慎重，像上面这款Foundry FES12GCF, 除了能做静态MAC绑定，就不能有效地预防ARP病毒的攻击。

第1页：1. #Show arp 第2页：2. 让交换机重新学习正确的ARP

关注我们