ARP 地址攻擊查找流程
1、如果客戶端PC與網(wǎng)關(guān)無(wú)法通訊,首先在客戶端ping 網(wǎng)關(guān)地址后,然后在dos窗口下執(zhí)行 arp –a 查看網(wǎng)關(guān)的mac地址,記錄下網(wǎng)關(guān)MAC地址。到交換機(jī)上查找交換機(jī)的MAC地址(例如VLAN1接口)
執(zhí)行 show int vlan 1 查看輸出信息中VLAN1接口MAC,同時(shí)執(zhí)行 show standby vlan 1 查看HSRP網(wǎng)關(guān)MAC地址。如果客戶端顯示的mac(假設(shè)為00-0d-0a-ac-bc-78)地址與網(wǎng)關(guān)地址不同,則可能是網(wǎng)關(guān)的MAC遭到ARP病毒攻擊。到交換機(jī)上執(zhí)行show mac-address | in 000d.0aac.bc78 在輸入信息中查找關(guān)聯(lián)該MAC地址的端口,如果該端口是直連PC或者SERVER的端口,那么該端口所連客戶端可能感染ARP類病毒。如果該端口連接的是另外一臺(tái)交換機(jī),那么登陸到那臺(tái)交換機(jī)上執(zhí)行show mac-address | in 000d.0aac.bc78 直到關(guān)聯(lián)端口是直連PC的端口位置。
2、如果客戶端PC能夠PING 通網(wǎng)關(guān)但是與其他VLAN的機(jī)器PING(假設(shè)該地址為192.168.1.111)不通。首先在客戶端ping 192.168.1.111后,然后在dos窗口下執(zhí)行 arp –a 查看對(duì)方IP地址對(duì)應(yīng)的mac地址,記錄下其MAC地址(有可能沒(méi)有信息),同時(shí)在目標(biāo)機(jī)器192.168.1.111上執(zhí)行 ipconfig/all查看該機(jī)器網(wǎng)卡mac地址并記錄下(注意:交換機(jī)上顯示的MAC地址和PC上顯示的MAC地址格式不一樣,交換機(jī)上為4個(gè)16進(jìn)制數(shù)一組并以“.”分割,PC機(jī)上為2個(gè)16進(jìn)制數(shù)為一組以”-”分割)。在dos窗口下執(zhí)行 tracert –d 192.168.1.111。查看tracert信息最后一跳到達(dá)哪臺(tái)交換機(jī)。登陸到那臺(tái)交換機(jī)上執(zhí)行PING 192.168.1.111,然后執(zhí)行 show arp | in 192.168.1.111 查看輸出信息的mac地址與目標(biāo)機(jī)器(192.168.1.111)的mac地址是否相同。如果不同(假設(shè)顯示為 000a.da87.5bca),記錄下后執(zhí)行 show mac-address | in 000a.da87.5bca 在輸出信息查看該MAC地址關(guān)聯(lián)到哪個(gè)端口,如果關(guān)聯(lián)的端口連接到另外一臺(tái)交換機(jī)上則到那臺(tái)交換機(jī)上執(zhí)行show mac-address | in 000a.da87.5bca,最終找到關(guān)聯(lián)端口連接是最終客戶端(PC或者server)的端口,如果該端口不是真正連接192.168.1.111的端口通常該端口既是感染ARP類病毒的機(jī)器。在交換機(jī)上執(zhí)行 show arp | in 000a.da87.5bca 輸入信息通常會(huì)顯示該MAC會(huì)關(guān)聯(lián)多個(gè)IP地址。
流量攻擊型病毒的查找流程
如果局域網(wǎng)中通訊不正常、丟包嚴(yán)重,登陸到網(wǎng)關(guān)上也會(huì)延遲很大,通常是局域網(wǎng)中有機(jī)器感染了流量攻擊型病毒,該類病毒會(huì)發(fā)送大量的小字節(jié)數(shù)據(jù)包消耗網(wǎng)絡(luò)中交換機(jī)、路由器的帶寬和處理能力。查找該類病毒也是通過(guò)流量判斷攻擊來(lái)源。在核心交換機(jī)上執(zhí)行clear count 清除當(dāng)前各個(gè)接口上的流量信息,20秒鐘后執(zhí)行show interface 查看各個(gè)接口上的流量(數(shù)據(jù)包的數(shù)量、總字節(jié)數(shù))通常會(huì)有一個(gè)或幾個(gè)端口的數(shù)據(jù)包的數(shù)量相當(dāng)夸張,但是總字節(jié)數(shù)不一定很多。如果這個(gè)端口直連PC那么暫時(shí)拔下該端口網(wǎng)線查看網(wǎng)絡(luò)是否回復(fù)正常。如果該端口是連接另外一臺(tái)交換機(jī)那么登陸到那臺(tái)交換機(jī)上依次操作,先清空各個(gè)端口的統(tǒng)計(jì)數(shù)字,20秒鐘后檢查接口流量。直到找到直連PC而且流量相當(dāng)大的機(jī)器。
