首页 爱情文章 亲情文章 友情文章 生活随笔 校园文章 经典文章 人生哲理 励志文章 搞笑文章 心情日记
  • 爱情文章
  • 亲情文章
  • 友情文章
  • 生活随笔
  • 校园文章
  • 经典文章
  • 人生哲理
  • 励志文章
  • 搞笑文章
  • 心情日记
  • 英语文章
  • 范文大全
  • 作文大全
  • 新闻阅读
    •
    当前位置: 山茶花美文网 > 爱情文章 > 正文

    利用交换机快速查找ARP病毒的攻击源|交换机被病毒攻击

    时间:2020-05-24来源:山茶花美文网 本文已影响 山茶花美文网手机站

    随便找了一个客户端的ip做了一下Ping测试,能通过测试。于是Telnet到该区域的核心交换上,做了一些简单的检查:

    1. #Show arp

    ---------------------------------------------------------------------------------------------------------

    telnet@FES12GCF-1#sh arp

    Total number of ARP entries: 96

    IP Address MAC Address Type Age Port

    1 10.10.247.16 000b.5d4d.cb36 Dynamic 0 2

    2 10.10.247.17 000b.5d4d.cb36 Dynamic 0 2

    3 10.10.247.18 000b.5d4d.cb36 Dynamic 0 2

    4 10.10.247.19 000b.5d4d.cb36 Dynamic 0 2

    5 10.10.247.20 000b.5d4d.cb36 Dynamic 0 2

    6 10.10.247.21 000b.5d4d.cb36 Dynamic 0 2

    7 10.10.247.22 000b.5d4d.cb36 Dynamic 0 2

    8 10.10.247.24 000b.5d4d.cb36 Dynamic 0 2

    9 10.10.247.28 000b.5d4d.cb36 Dynamic 0 2

    10 10.10.247.30 000b.5d4d.cb36 Dynamic 0 2

    11 10.10.247.31 000b.5d4d.cb36 Dynamic 0 2

    12 10.10.247.32 000b.5d4d.cb36 Dynamic 0 2

    13 10.10.247.33 000b.5d4d.cb36 Dynamic 0 2

    14 10.10.247.34 000b.5d4d.cb36 Dynamic 0 2

    15 10.10.247.35 000b.5d4d.cb36 Dynamic 0 2

    16 10.10.247.36 000b.5d4d.cb36 Dynamic 0 2

    17 10.10.247.38 000b.5d4d.cb36 Dynamic 0 2

    18 10.10.247.39 000b.5d4d.cb36 Dynamic 0 2

    19 10.10.247.40 000b.5d4d.cb36 Dynamic 0 2

    20 10.10.247.41 000b.5d4d.cb36 Dynamic 0 2

    21 10.10.247.42 000b.5d4d.cb36 Dynamic 0 2

    22 10.10.247.43 000b.5d4d.cb36 Dynamic 0 2

    23 10.10.247.44 000b.5d4d.cb36 Dynamic 0 2

    IP Address MAC Address Type Age Port

    24 10.10.247.44 000b.5d4d.cb36 Dynamic 0 2

    25 10.10.247.45 0018.8b04.8690 Dynamic 6 2

    26 10.10.247.46 000b.5d4d.cb36 Dynamic 0 2

    27 10.10.247.47 000b.5d4d.cb36 Dynamic 0 2

    28 10.10.247.48 000b.5d4d.cb36 Dynamic 0 2

    29 10.10.247.49 000b.5d4d.cb36 Dynamic 0 2

    30 10.10.247.51 000b.5d4d.cb36 Dynamic 0 2

    31 10.10.247.52 000b.5d4d.cb36 Dynamic 0 2

    32 10.10.247.54 000b.5d4d.cb36 Dynamic 0 2

    33 10.10.247.56 000b.5d4d.cb36 Dynamic 0 2

    34 10.10.247.57 000b.5d4d.cb36 Dynamic 0 2

    35 10.10.247.58 000b.5d4d.cb36 Dynamic 0 2

    36 10.10.247.59 000b.5d4d.cb36 Dynamic 0 2

    37 10.10.247.61 0013.729a.8253 Dynamic 6 2

    38 10.10.247.67 000b.5d4d.cb36 Dynamic 0 2

    39 10.10.247.68 000b.5d4d.cb36 Dynamic 0 2

    40 10.10.247.72 000b.5d4d.cb36 Dynamic 0 2

    41 10.10.247.73 000b.5d4d.cb36 Dynamic 0 2

    42 10.10.247.74 000b.5d4d.cb36 Dynamic 0 2

    43 10.10.247.75 000b.5d4d.cb36 Dynamic 0 2

    44 10.10.247.76 000b.5d4d.cb36 Dynamic 0 2

    45 10.10.247.77 000b.5d4d.cb36 Dynamic 0 2

    46 10.10.247.78 000b.5d4d.cb36 Dynamic 0 2

    IP Address MAC Address Type Age Port

    47 10.10.247.79 000b.5d4d.cb36 Dynamic 0 2

    48 10.10.247.81 000b.5d4d.cb36 Dynamic 0 2

    49 10.10.247.82 000b.5d4d.cb36 Dynamic 0 2

    50 10.10.247.83 000b.5d4d.cb36 Dynamic 1 2

    51 10.10.247.85 000b.5d4d.cb36 Dynamic 1 2

    52 10.10.247.86 000b.5d4d.cb36 Dynamic 1 2

    53 10.10.247.87 000b.5d4d.cb36 Dynamic 1 2

    54 10.10.247.88 000b.5d4d.cb36 Dynamic 1 2

    55 10.10.247.91 000b.5d4d.cb36 Dynamic 1 2

    56 10.10.247.92 000b.5d4d.cb36 Dynamic 1 2

    57 10.10.247.93 0012.3f87.101d Dynamic 0 2

    58 10.10.247.94 000b.5d4d.cb36 Dynamic 1 2

    59 10.10.247.95 000b.5d4d.cb36 Dynamic 1 2

    60 10.10.247.97 000b.5d4d.cb36 Dynamic 1 2

    61 10.10.247.98 000b.5d4d.cb36 Dynamic 1 2

    62 10.10.247.99 000d.5611.4256 Dynamic 0 2

    63 10.10.247.106 000b.5d4d.cb36 Dynamic 1 2

    64 10.10.247.128 000b.5d4d.cb36 Dynamic 1 2

    65 10.10.247.136 000d.6033.d5cd Dynamic 0 2

    66 10.10.247.139 000b.5d4d.cb36 Dynamic 1 2

    67 10.10.247.140 000b.5d4d.cb36 Dynamic 1 2

    68 10.10.247.141 000b.5d4d.cb36 Dynamic 1 2

    69 10.10.247.142 000b.5d4d.cb36 Dynamic 1 2

    -----------------------------------------------------------------------------

    2. Show mac-address

    ------------------------------------------------------------------------------------------------------------

    telnet@FES12GCF-1#sh mac-add 000b.5d4d.cb36

    Total active entries from all ports = 106

    MAC-Address Port Type VLAN

    000b.5d4d.cb36 2 Dynamic 247

    --------------------------------------------------------------------------------------------------------------

    端口2下面是接一个普通的交换机,别的topology就不用了解了。

    这个样子看起来就是ARP攻击咯, 000b.5d4d.cb36这台机器作了ARP欺骗,导致所有的机器都不能正常的访问网络。

    继续追查,查一下他真实的IP,连接到DHCP Server 上面,在DHCP Scope 10.10.247.1这个上检查一下该机器:

    --------------------------------------------------------------------------------------------------------

    10.10.247.143 ZZlin Reservation (active) DHCP 000b5d4dcb36

    ----------------------------------------------------------------------------------------------------------

    Ping 10.10.247.143,通了,接着nbtstat -a 10.10.247.143 检查一下电脑名字是否相符, 运气不错,找到了!

    第一时间通知同事去现场查找这台有问题的机器,但为了不影响生产,还要快刀斩乱麻,先把影响降到最低。

    首先,在交换机上封掉该MAC:

    telnet@FES12GCF-1#conf t

    Warning: 1 user(s) already in config mode.

    telnet@FES12GCF-1(config)#mac filter 1 deny 000b.5d4d.cb36 ffff.ffff.ffff any

    telnet@FES12GCF-1(config)#end

    接着清空交换机的ARP缓存,让他快速重新学习正确的arp:

    telnet@FES12GCF-1#clear arp

    清空交换机的mac-address,也让他重新学习:

    telnet@FES12GCF-1#clear mac-add

    最后再次检查ARP表:

    ------------------------------------------------------------------------------------------------

    telnet@SAE-CA-B1-FES12GCF-1#sh arp

    Total number of ARP entries: 31

    IP Address MAC Address Type Age Port

    1 10.10.247.18 0060.e900.781e Dynamic 0 2

    2 10.10.247.20 0018.8b1b.b010 Dynamic 0 2

    3 10.10.247.22 000d.60a3.77d0 Dynamic 0 2

    4 10.10.247.28 0018.8b1b.b022 Dynamic 0 2

    5 10.10.247.34 0013.7290.e52c Dynamic 0 2

    6 10.10.247.35 0090.e804.1b2e Dynamic 0 2

    7 10.10.247.39 00e0.4c4f.8502 Dynamic 0 2

    8 10.10.247.44 0013.729a.7eb5 Dynamic 0 2

    9 10.10.247.49 000d.6035.85c3 Dynamic 0 2

    10 10.10.247.52 0009.6bed.4cc6 Dynamic 0 2

    11 10.10.247.58 0013.728e.1210 Dynamic 0 2

    12 10.10.247.59 001d.0909.5310 Dynamic 0 2

    13 10.10.247.72 001d.0931.f0d5 Dynamic 0 2

    14 10.10.247.77 0012.3f87.ea67 Dynamic 0 2

    15 10.10.247.79 0018.8b23.09e3 Dynamic 0 2

    16 10.10.247.81 0018.8b1d.04ba Dynamic 0 2

    17 10.10.247.82 0011.43af.b0dc Dynamic 0 2

    18 10.10.247.88 0017.312c.40b5 Dynamic 0 2

    19 10.10.247.91 0013.728e.1a6d Dynamic 0 2

    20 10.10.247.92 000f.8f28.d4e6 Dynamic 0 2

    21 10.10.247.95 0002.555b.3546 Dynamic 0 2

    22 10.10.247.106 0014.222a.1f64 Dynamic 0 2

    23 10.10.247.136 000d.6033.d5cd Dynamic 0 2

    ------------------------------------------------------------------------------------------------

    看来已经恢复正常咯。

    回过头来,小结一下:

    1. 这个是一代的ARP攻击,源MAC和源IP都没有伪造,所以很容易查找,如果是二代的攻击,就不会这么轻松咯。

    希望下次有机会遇到:-)

    2. 两个小时后,同时打电话过来说找到那台pc了,没装杀毒软件,查了几十个木马出来。

    3. 划分Vlan能将影响降到最低。

    4. 杀毒和打补丁是日常工作必不可少的一部分。

    5. 交换机的选型要慎重,像上面这款Foundry FES12GCF, 除了能做静态MAC绑定, 就不能有效地预防ARP病毒的攻击。

    • 利用交换机快速查找ARP病毒的攻击源|交换机被病毒攻击 相关文章:
    • 爱情文章
    • 亲情文章
    • 友情文章
    • 随笔
    • 哲理
    • 励志
    • 范文大全

    最新文章

    热点文章

    推荐访问

    军训远足心得体会 军训爬山心得体会 大学军训徒步拉练感想 军训徒步作文 军训徒步10公里感想 军训徒步心得体会 5分钟演讲中秋节节日 中秋一分钟演讲 中秋节演讲稿4分钟 中秋节演讲稿一分钟 中秋节演讲稿五分钟 3-5分钟 中秋节短篇演讲稿 中秋节演讲稿两分钟 中秋节的演讲稿3分钟 关于中秋节的演讲稿三分钟 孩子体验军训的心得 参加孩子军训活动的感受与收获 家长对孩子军训后的收获和感悟 小孩军训的收获与感悟 学生军训的收获与感悟 孩子军训成长过程家长感悟 孩子军训感悟 孩子军训心得体会 孩子军训的收获与感悟 兵役前训练心得体会 部队当兵的心得 新兵役前教育训练心得体会 预备役军训心得体会 新兵军训感悟

    本文利用交换机快速查找ARP病毒的攻击源|交换机被病毒攻击由山茶花美文网整理提供,版权归原作者、原出处所有。

    Copyright © 山茶花美文网 All Rights Reserved.