资源描述
单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,arp欺骗病毒排查实例,1,arp欺骗病毒排查实例,在很多我们的客户网络中,经常遭受着 arp 欺骗之苦,根据个人在实际中的经验,特此把本人排除此类网络故障的一些心得体会,供大家互相学习,有不对的地方请大家指正。,网络故障现象:网速变得很慢,部分机也能正常上网,部分机器上不了,但也会偶尔出现连续几个掉包现象,大部分机器不能正常上网,出现了严重的连续的掉包现象,过一段时间又能自动连上,ping 网关,time 在波动比较大。并且在此时重起路由又会发现正常一段时间,过不了多久又是这样.,2,arp欺骗病毒排查实例,故障排除过程:,运行 Arp a 命令,发现网关指向不正确。(注本网络网关是 3d-0a),初步判断是 31-b6机器在进行 arp 欺骗,如下图,3,arp欺骗病毒排查实例,把分析故障主机连在镜像口上,运行 sniffer pro 4.7。打开 dashboard 面版,发现broadcasts/s,因为本人抓的是其中一个网段,此网段也不过是多台主机,每秒钟 26个 广 播 包 很 不 正 常 , 但 也 不 应 该 能 引 起 广 播 风 暴 , 应 该 是 arp 欺 骗 包,4,arp欺骗病毒排查实例,正常的情况broadcasts/s维持在比较低的水平, 如下图。如果发现某个时间段以来broadcasts/s居高不下,就应该引起足够的中重视.,5,arp欺骗病毒排查实例,切换到 Hosttable 面版,发现其中一台主机的广播量远远大于其他主机(正常情况下维持比较低的广播量,具体要看监控时间长短但分布比较均匀,不会出现某一台主机的广播量远远大于其他正常主机的现象), 因为没有截取 31b6 机器当时 hosttable 的图,用这张图片做示例,如下图:,6,arp欺骗病毒排查实例,切换到 Protocol distribudion ,发现 Arp协议使用率占很大比例(一般在正常网络运行,ip 占99以上),如下图:,7,arp欺骗病毒排查实例,对广播量最大的主机 31b6 进行抓包解码分析,发现31b6 主机不断欺骗网关,宣称它是192.168.2.0/24 网段的主机(够狠毒,让其他的主机不能和网关正常通讯),如下图:,8,到此,造成这次的网络故障原因就已经很清楚了,是 31b6机器在进行 arp 欺骗活动,所以造成其他主机不能正常上网,很遗憾因为抓包时间不够长,所以不能看到 31b6 欺骗其他主机,宣称它是网关的数据包,因此, 对 31b6 进行隔离,杀毒,发现了是一个可疑进程 npf,用 kav6 杀毒整个网络又回复了正常。,arp欺骗病毒排查实例,9,
展开阅读全文