歡迎進入網絡技術社區論壇,與200萬技術人員互動交流 >>進入 2. Show mac-address ------------------------------------------------------------------------------------------------------------ telnet@FES12GCF-1#sh mac-add 000b.5d4d.cb36 Total act
歡迎進入網絡技術社區論壇,與200萬技術人員互動交流 >>進入
2. Show mac-address
------------------------------------------------------------------------------------------------------------
telnet@FES12GCF-1#sh mac-add 000b.5d4d.cb36
Total active entries from all ports = 106
MAC-Address Port Type VLAN
000b.5d4d.cb36 2 Dynamic 247
--------------------------------------------------------------------------------------------------------------
端口2下面是接一個普通的交換機,別的topology就不用了解了。
這個樣子看起來就是ARP攻擊咯, 000b.5d4d.cb36這臺機器作了ARP欺騙,導致所有的機器都不能正常的訪問網絡。
繼續追查,查一下他真實的IP,連接到DHCP Server 上面,在DHCP Scope 10.10.247.1這個上檢查一下該機器:
--------------------------------------------------------------------------------------------------------
10.10.247.143 ZZlin Reservation (active) DHCP 000b5d4dcb36
----------------------------------------------------------------------------------------------------------
Ping 10.10.247.143,通了,接著nbtstat -a 10.10.247.143 檢查一下電腦名字是否相符, 運氣不錯,找到了!
第一時間通知同事去現場查找這臺有問題的機器,但為了不影響生產,還要快刀斬亂麻,先把影響降到最低。
首先,在交換機上封掉該MAC:
telnet@FES12GCF-1#conf t
Warning: 1 user(s) already in config mode.
telnet@FES12GCF-1(config)#mac filter 1 deny 000b.5d4d.cb36 ffff.ffff.ffff any
telnet@FES12GCF-1(config)#end
接著清空交換機的ARP緩存,讓他快速重新學習正確的arp:
telnet@FES12GCF-1#clear arp
清空交換機的mac-address,也讓他重新學習:
telnet@FES12GCF-1#clear mac-add
最后再次檢查ARP表:
------------------------------------------------------------------------------------------------
telnet@SAE-CA-B1-FES12GCF-1#sh arp
Total number of ARP entries: 31
IP Address MAC Address Type Age Port
1 10.10.247.18 0060.e900.781e Dynamic 0 2
2 10.10.247.20 0018.8b1b.b010 Dynamic 0 2
3 10.10.247.22 000d.60a3.77d0 Dynamic 0 2
4 10.10.247.28 0018.8b1b.b022 Dynamic 0 2
5 10.10.247.34 0013.7290.e52c Dynamic 0 2
6 10.10.247.35 0090.e804.1b2e Dynamic 0 2
7 10.10.247.39 00e0.4c4f.8502 Dynamic 0 2
8 10.10.247.44 0013.729a.7eb5 Dynamic 0 2
9 10.10.247.49 000d.6035.85c3 Dynamic 0 2
10 10.10.247.52 0009.6bed.4cc6 Dynamic 0 2
11 10.10.247.58 0013.728e.1210 Dynamic 0 2
12 10.10.247.59 001d.0909.5310 Dynamic 0 2
13 10.10.247.72 001d.0931.f0d5 Dynamic 0 2
14 10.10.247.77 0012.3f87.ea67 Dynamic 0 2
15 10.10.247.79 0018.8b23.09e3 Dynamic 0 2
16 10.10.247.81 0018.8b1d.04ba Dynamic 0 2
17 10.10.247.82 0011.43af.b0dc Dynamic 0 2
18 10.10.247.88 0017.312c.40b5 Dynamic 0 2
19 10.10.247.91 0013.728e.1a6d Dynamic 0 2
20 10.10.247.92 000f.8f28.d4e6 Dynamic 0 2
21 10.10.247.95 0002.555b.3546 Dynamic 0 2
22 10.10.247.106 0014.222a.1f64 Dynamic 0 2
23 10.10.247.136 000d.6033.d5cd Dynamic 0 2
------------------------------------------------------------------------------------------------
看來已經恢復正常咯。
回過頭來,小結一下:
1. 這個是一代的ARP攻擊,源MAC和源IP都沒有偽造,所以很容易查找,如果是二代的攻擊,就不會這么輕松咯。
希望下次有機會遇到:-)
2. 兩個小時后,同時打電話過來說找到那臺pc了,沒裝殺毒軟件,查了幾十個木馬出來。
3. 劃分Vlan能將影響降到最低。
4. 殺毒和打補丁是日常工作必不可少的一部分。
5. 交換機的選型要慎重,像上面這款Foundry FES12GCF, 除了能做靜態MAC綁定, 就不能有效地預防ARP病毒的攻擊。
[1] [2]
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
Copyright ? 2019-2025 51dongshi.com 版權所有
違法及侵權請聯系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市萬商天勤律師事務所王興未律師提供法律服務
