标题:
ARP预防之sniffer排查ARP查实例(转)
[打印本页]
作者:
qq2008444
时间:
2007-8-6 09:40
标题:
ARP预防之sniffer排查ARP查实例(转)
这段时间以来,我们都遭受着arp 欺骗之苦,根据个人在实际中的经验,特此把本人排除此类网络故障的一些心得体会,供大家互相学习,有不对的地方请大家指正。
网络故障现象:网速变得很慢,部分机能正常上网,但也会偶尔出现连续几个掉包现象,大部分机器不能正常上网,出现了严重的连续的掉包现象,过一段时间又能自动连上,ping网关,time 在波动比较大。
故障排除过程:运行Arp –a 命令,发现网关指向不正确。(注本网络网关是3d0a),初步判断是31b6
机器在进行arp 欺骗,如下图
把分析故障主机连在镜像口上,运行sniffer pro 4.7。打开dashboard 面版,发现broadcasts/s,因为本人抓的是其中一个网段,此网段也不过是100多台主机,每秒钟26个广播包很不正常,但也不应该能引起广播风暴, 应该是arp 欺骗包正常的情况broadcasts/s 维持在比较低的水平, 如下图。
正常的情况broadcasts/s 维持在比较低的水平,如果发现某个时间段以来broadcasts/s居高不下,就应该引起足够的重视.
切换到Hosttable 面版,发现其中一台主机的广播量远远大于其他主机(正常情况下维持比较低的广播量,具体要看监控时间长短但分布比较均匀,不会出现某一台主机的广播量远远大于其他正常主机的现象), 因为没有截取31b6 机器当时hosttable 的图,用这张图片
做示例,如下图:
切换到Protocol distribudion ,发现Arp 协议使用率占很大比例(一般在正常网络运行,ip 占99%以上),如下图:
对广播量最大的主机31b6 进行抓包解码分析,发现31b6 主机不断欺骗网关,宣称它是192.168.2.0/24 网段的主机(够狠毒,让其他的主机不能和网关正常通讯),如下图:
附图说明:31b6 对网关宣称它是192.168.2.2 主机
31B6 对网关3d0a 宣称它是192.168.2.15 的主机,如下图:
到此,造成这次的网络故障原因就已经很清楚了,是31b6 机器在进行arp 欺骗活动,所以造成其他主机不能正常上网,很遗憾因为抓包时间不够长,所以不能看到31b6 欺骗其他主机,宣称它是网关的数据包,因此,对31b6 进行隔离,杀毒,发现了是一个可疑进程npf,用超级魔法兔子清除此进程,用反间谍专家清除木马文件,用kav6 杀毒(就差点没有低格了,哈哈)整个网络又回复了正常。
作者:
klinxun
时间:
2007-8-6 14:15
小弟太菜,看不懂,不过我会推荐高手看看的。
作者:
微点专家
时间:
2007-8-6 14:34
欺负我看不懂外国字
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
