利用交换机快速查找ARP病毒的攻击源

来源：软件水平考试发布时间：2012-11-04 软件水平考试视频评论

　　51 10.10.247.85 000b.5d4d.cb36 Dynamic 1 2
　　52 10.10.247.86 000b.5d4d.cb36 Dynamic 1 2
　　53 10.10.247.87 000b.5d4d.cb36 Dynamic 1 2
　　54 10.10.247.88 000b.5d4d.cb36 Dynamic 1 2
　　55 10.10.247.91 000b.5d4d.cb36 Dynamic 1 2
　　56 10.10.247.92 000b.5d4d.cb36 Dynamic 1 2
　　57 10.10.247.93 0012.3f87.101d Dynamic 0 2
　　58 10.10.247.94 000b.5d4d.cb36 Dynamic 1 2
　　59 10.10.247.95 000b.5d4d.cb36 Dynamic 1 2
　　60 10.10.247.97 000b.5d4d.cb36 Dynamic 1 2
　　61 10.10.247.98 000b.5d4d.cb36 Dynamic 1 2
　　62 10.10.247.99 000d.5611.4256 Dynamic 0 2
　　63 10.10.247.106 000b.5d4d.cb36 Dynamic 1 2
　　64 10.10.247.128 000b.5d4d.cb36 Dynamic 1 2
　　65 10.10.247.136 000d.6033.d5cd Dynamic 0 2
　　66 10.10.247.139 000b.5d4d.cb36 Dynamic 1 2
　　67 10.10.247.140 000b.5d4d.cb36 Dynamic 1 2
　　68 10.10.247.141 000b.5d4d.cb36 Dynamic 1 2
　　69 10.10.247.142 000b.5d4d.cb36 Dynamic 1 2
　　2. Show mac-address
　　telnet@FES12GCF-1#sh mac-add 000b.5d4d.cb36
　　Total active entries from all ports = 106
　　MAC-Address Port Type VLAN
　　000b.5d4d.cb36 2 Dynamic 247
　　端口2下面是接一个普通的交换机，别的topology就不用了解了。
　　这个样子看起来就是ARP攻击咯， 000b.5d4d.cb36这台机器作了ARP欺骗，导致所有的机器都不能正常的访问网络。
　　继续追查，查一下他真实的IP，连接到DHCP Server 上面，在DHCP Scope 10.10.247.1这个上检查一下该机器：
　　10.10.247.143 ZZlin Reservation (active) DHCP 000b5d4dcb36
　　Ping 10.10.247.143,通了，接着nbtstat -a 10.10.247.143 检查一下电脑名字是否相符，运气不错，找到了！
　　第一时间通知同事去现场查找这台有问题的机器，但为了不影响生产，还要快刀斩乱麻，先把影响降到最低。
　　首先，在交换机上封掉该MAC:
　　telnet@FES12GCF-1#conf t
　　Warning: 1 user(s) already in config mode.
　　telnet@FES12GCF-1(config)#mac filter 1 deny 000b.5d4d.cb36 ffff.ffff.ffff any
　　telnet@FES12GCF-1(config)#end
　　接着清空交换机的ARP缓存,让他快速重新学习正确的arp:
　　telnet@FES12GCF-1#clear arp
　　清空交换机的mac-address,也让他重新学习：
　　telnet@FES12GCF-1#clear mac-add
　　最后再次检查ARP表：
　　telnet@SAE-CA-B1-FES12GCF-1#sh arp
　　Total number of ARP entries: 31
　　IP Address MAC Address Type Age Port
　　1 10.10.247.18 0060.e900.781e Dynamic 0 2
　　2 10.10.247.20 0018.8b1b.b010 Dynamic 0 2
　　3 10.10.247.22 000d.60a3.77d0 Dynamic 0 2
　　4 10.10.247.28 0018.8b1b.b022 Dynamic 0 2
　　5 10.10.247.34 0013.7290.e52c Dynamic 0 2
　　6 10.10.247.35 0090.e804.1b2e Dynamic 0 2
　　7 10.10.247.39 00e0.4c4f.8502 Dynamic 0 2
　　8 10.10.247.44 0013.729a.7eb5 Dynamic 0 2
　　9 10.10.247.49 000d.6035.85c3 Dynamic 0 2
　　10 10.10.247.52 0009.6bed.4cc6 Dynamic 0 2
　　11 10.10.247.58 0013.728e.1210 Dynamic 0 2
　　12 10.10.247.59 001d.0909.5310 Dynamic 0 2
　　13 10.10.247.72 001d.0931.f0d5 Dynamic 0 2
　　14 10.10.247.77 0012.3f87.ea67 Dynamic 0 2
　　15 10.10.247.79 0018.8b23.09e3 Dynamic 0 2
　　16 10.10.247.81 0018.8b1d.04ba Dynamic 0 2
　　17 10.10.247.82 0011.43af.b0dc Dynamic 0 2
　　18 10.10.247.88 0017.312c.40b5 Dynamic 0 2
　　19 10.10.247.91 0013.728e.1a6d Dynamic 0 2
　　20 10.10.247.92 000f.8f28.d4e6 Dynamic 0 2
　　21 10.10.247.95 0002.555b.3546 Dynamic 0 2
　　22 10.10.247.106 0014.222a.1f64 Dynamic 0 2
　　23 10.10.247.136 000d.6033.d5cd Dynamic 0 2
　　看来已经恢复正常咯。
　　回过头来，小结一下：
　　1. 这个是一代的ARP攻击，源MAC和源IP都没有伪造，所以很容易查找，如果是二代的攻击，就不会这么轻松咯。希望下次有机会遇到．
　　2. 两个小时后，同时打电话过来说找到那台pc了，没装杀毒软件，查了几十个木马出来。
　　3. 划分Vlan能将影响降到最低。
　　4. 杀毒和打补丁是日常工作必不可少的一部分。
　　5. 交换机的选型要慎重，像上面这款Foundry FES12GCF, 除了能做静态MAC绑定，就不能有效地预防ARP病毒的攻击。

视频学习

我考网版权与免责声明

① 凡本网注明稿件来源为"原创"的所有文字、图片和音视频稿件，版权均属本网所有。任何媒体、网站或个人转载、链接转贴或以其他方式复制发表时必须注明"稿件来源：我考网"，违者本网将依法追究责任；

② 本网部分稿件来源于网络，任何单位或个人认为我考网发布的内容可能涉嫌侵犯其合法权益，应该及时向我考网书面反馈，并提供身份证明、权属证明及详细侵权情况证明，我考网在收到上述法律文件后，将会尽快移除被控侵权内容。