首页
学习
活动
专区
工具
TVP
发布

记一次ARP网络欺骗故障应急

因本号小队忙于各自的事情,更新频率下降,如果有读者朋友有哪方面的问题,欢迎来信探讨!谢谢大家!

前言:某日下午,应朋友请求解决一起网络故障,先让他描述故障现象,得到如下现象:在某市政单位办公内网出现某一vlan用户整体上网体验差,具体为好一会,差一会,而且在上网行为管理上能够看到该段用户在线状态。

一.分析问题

根据描述现象无法判断具体故障原因,因此,叫朋友给我看网络拓扑,并指出网关所在交换机,并询问是否有DHCP配置。朋友刚开始说有,导致排查方向受到干扰,但最后还是找出问题根源。接着询问有无用户私接交换机及路由器,朋友说有这个私接现象,最后基本定位问题为两类。

故障:192.168.5.0/24 vlan100本段用户网络时好时坏,体验感极差,用户要求排查并解决,故障发生时间为3.13日,距今5天。

二.原因分析

根据朋友描述,可能原因如下:

(1)用户私接路由,可能造成DHCP争用,也就是dhcp spooning 攻击,

(2)ip冲突,此用户段出现IP地址冲突,导致ARP表一个IP对应多个MAC,

(3)环路,或者ARP欺骗,现象,相同MAC出现在不同端口,或者一个MAC对应多个IP。

那问题大致3种,一一验证即可,在核心、汇聚、接入交换机上查看DHCP状态,无DHCP,此时朋友说法错误,该网段为手工静态配置。

2.查看MAC地址表,发现异常,结果如下:

同一个MAC对应不同的IP,可暂时断定为ARP攻击。

3.再根据MAC查,如下图所示:

这下子可以清楚的看到确定为ARP欺骗攻击了。

分析排查完毕!上报朋友。

三.解决问题

根据该MAC对应的端口信息,锁定并记录到接入交换机的对应端口,然后依次shutdown掉该MAC地址对应的交换机端口,并观察网络质量变化,然后等待被封用户寻找网络管理员进行进一步排查处置。

或者直接把该MAC绑定到一个无用的IP,禁用掉此MAC地址,手工静态ARP绑定IP,杜绝此MAC对应的IP干扰网络,并进一步观察ARP表的变化。

喜欢的朋友可以动动手指点个关注。有问题欢迎来信探讨!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20200318A0M21E00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券