计算机技術文摘

arp病毒

这几天网络出现了些异常现象,先描述一下网络拓扑:
2M光纤----Cisco ASA5510----Cisco 2950-----主机
其中ASA充当网关和dhcp-server
目前上网的机器只要十几台
发生的问题:
1.用几十分钟到几个小时候就出现无法上网,ping不通网关,ip地址刷新一下无法获得,手工设置和asa一个网段,仍然无法ping通网关
2.由于没有ip,所以也就没有arp -a信息
3.也无法ping通2950,导致无法观看2950上的arp信息,笔记本没有串口,明天弄一根串口转usb的线再试试
采取的措施:
1.逐一拔掉网线,没有任何起色,仍然是ping不通交换机和防火墙
2.安装了360,启用了arp防火墙,用固定ip,仍然是过一会就断网,并且arp防火墙没有任何告警信息
3.交换机端口闪烁没有任何异常
4.由于手头没有抓包软件,并且交换机没有端口映像功能,明天再想办法。
 
附搜到的一般解决办法:
一、查网络设备。用telnet或超级终端进入核心交换机或路由器,用“show arp”或之类的命令列出arp表,会发现有很多IP对应的MAC地址是一样的,这些相同的MAC地址就是病毒主机网卡的MAC地址(如果主机很多则可复制MAC地址到EXCEL里按MAC地址排序就一目了然了),然后对应“用户—IP—MAC”对应表(网管一般都备有)就知道是谁的机子中毒了,如果没有对应表,则跟据路由器里的ARP表对应的IP逐个排查。
二、用抓包分析软件(如ethereal、sniffer Pro等)分析。有病毒的机子在很短的时间内会广播大量的ARP包,由于是广播的,不必在交换机上设端口镜像或把网卡设成混杂模式,直接在网络上的任一台机子上,抓半分钟内的数据包就基本可以找到有问题的机子了。在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP Request请求包,那么这台电脑一般就是病毒源。
  原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机不过要是病毒主机是跨网段,那么ARP包是由网关转发,这就得确定是哪个网关发送的,然后再到该网关的网段内查找病毒主机。
三、使用tracert命令
  在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert 220.181.38.84 。
  假定设置的缺省网关为192.168.1.1,在跟踪一个外网地址时,第一跳却是192.168.1.88,那么,192.168.1.88就是病毒源。
  原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。
四、如果是DHCP动态获得IP的网络,又没有MAC地址对应表,可在交换机上用ALC或shutdown端口的方式阻止其访问网络,那谁反映上不了网就是谁的机子有病毒,若交机没有网管功能的。。。拨网线吧,拔一跟线就抓一会包,拔到哪根正常了,就是这根网线另一端的机子有病毒了。
上面四种方法提供的是几种处理的思路,针对不用的网络可能会用到一种或几种方法。

 

posted on 2009-11-06 15:53 计算机技术博客 阅读(281) 评论(0)  编辑 收藏 引用 所属分类: 4 工作手記7 系統維護8 網絡技術9 路由技术

公告

http://www.nuanbb.com

导航

常用链接

随笔分类(255)

常用链接