» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 防火墙 » ARP预防之sniffer排查ARP查实例(转)   作者: 标题: ARP预防之sniffer排查ARP查实例(转) qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #1  ARP预防之sniffer排查ARP查实例(转) 这段时间以来，我们都遭受着arp 欺骗之苦，根据个人在实际中的经验，特此把本人排除此类网络故障的一些心得体会，供大家互相学习，有不对的地方请大家指正。 　　网络故障现象：网速变得很慢，部分机能正常上网，但也会偶尔出现连续几个掉包现象，大部分机器不能正常上网，出现了严重的连续的掉包现象，过一段时间又能自动连上，ping网关，time 在波动比较大。 　　故障排除过程：运行Arp –a 命令，发现网关指向不正确。（注本网络网关是3d0a），初步判断是31b6 机器在进行arp 欺骗，如下图 　　把分析故障主机连在镜像口上，运行sniffer pro 4.7。打开dashboard 面版，发现broadcasts/s，因为本人抓的是其中一个网段，此网段也不过是１００多台主机，每秒钟26个广播包很不正常，但也不应该能引起广播风暴， 应该是arp 欺骗包正常的情况broadcasts/s 维持在比较低的水平, 如下图。 　　正常的情况broadcasts/s 维持在比较低的水平，如果发现某个时间段以来broadcasts/s居高不下，就应该引起足够的重视. 　　切换到Hosttable 面版，发现其中一台主机的广播量远远大于其他主机（正常情况下维持比较低的广播量，具体要看监控时间长短但分布比较均匀，不会出现某一台主机的广播量远远大于其他正常主机的现象）， 因为没有截取31b6 机器当时hosttable 的图，用这张图片 做示例，如下图： 　　切换到Protocol distribudion ,发现Arp 协议使用率占很大比例（一般在正常网络运行，ip 占99％以上），如下图： 　　对广播量最大的主机31b6 进行抓包解码分析,发现31b6 主机不断欺骗网关，宣称它是192.168.2.0/24 网段的主机（够狠毒，让其他的主机不能和网关正常通讯），如下图： 附图说明：31b6 对网关宣称它是192.168.2.2 主机 　　31B6 对网关3d0a 宣称它是192.168.2.15 的主机，如下图： 　　到此，造成这次的网络故障原因就已经很清楚了，是31b6 机器在进行arp 欺骗活动，所以造成其他主机不能正常上网，很遗憾因为抓包时间不够长，所以不能看到31b6 欺骗其他主机，宣称它是网关的数据包，因此，对31b6 进行隔离,杀毒，发现了是一个可疑进程npf，用超级魔法兔子清除此进程，用反间谍专家清除木马文件，用kav6 杀毒（就差点没有低格了，哈哈）整个网络又回复了正常。 ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-8-6 09:40 klinxun 新手上路 积分 5 发帖 5 注册 2007-2-7 #2   小弟太菜，看不懂，不过我会推荐高手看看的。 ※ ※ ※ 本文纯属【klinxun】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-6 14:15 微点专家 版主 Weizi 积分 11554 发帖 11458 注册 2006-8-27 来自 贵阳 #3   欺负我看不懂外国字 ※ ※ ※ 本文纯属【微点专家】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做个性的自己 2007-8-6 14:34 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号