IDC运维团队技术交流——网络故障之ARP攻击
2008-06-07 16:54
393 查看
前言: 随着IDC业务的不断发展,为了适应不同客户的业务需求,要求我们不断的提升自身的技术水平及工作能力;对故障的准确定位及快速处理能力是至关重要的。首先要把思路理顺,面对故障要有条有理,逐步排查,这样才能从容应对。 在这里本人将一些工作中的经验跟大家交流、分享。有不同意见或看法的欢迎大家指教。 故障现象: 客户反映说有ARP攻击他的服务器网页,服务器能正常远程登录及上网;但客户网站打开后就是乱码或者加了一条广告。明显网页在半路被人截了改后的网页。 故障分析: 按照故障现象分析故障类型为非单机故障的网络故障。 故障排查: 1. telnet到公司的华为三层交换机上,使用dis arp命令(思科设备命令show arp)查看有无arp网关欺骗,见下图————分别是华为设备和思科设备的查看方式:
结果没有,于是马上dis logbuffer(思科设备命令show logging)查看交换机日志,下面给出了思科设备的查看方式:
两个结果显示都很正常; 2. 仔细查看公司网络流量图(按客户所报IP的机位及相同网段)并没有异常; 3. 于是叫客户在其服务器上运行arp -a后得到网关MAC地址(linux系统命令为tcpdump -i eth0 arp);得知此MAC地址并不是网关的真正MAC地址。 4. 于是查看先前备份的整个网络的ip对应的MAC地址,从中找出对应的IP。 故障解决: 知道了是哪个ip在作怪,问题就好解决了,于是telnet 到与此ip服务器直接连接的华为交换机上,进入端口后用命令shut(此命令对于华为、思科设备是一样的)来关闭此IP的交换机端口;以确保网络畅通。再来想办法处理这台发起ARP攻击的服务器。 其它相同类型的故障解决思路: ARP的攻击无处不在,以下是一些服务器受到ARP攻击的具体表现: 1. 一台服务器要求破密码,破完密码后重启;此时原来的静态IP一直在获取的状态,在运行cmd后ipconfig/all显示没有IP。开始还以为是此IP被别人占用了;最后确定没有人用;而此时三层交换机管理员查出了ARP攻击。 分析:服务器重启或者是刚上架开通服务,而服务器的静态IP无法正常的获取,此时应该考虑是不是有网关欺骗行为。 处理:可以使用上面的故障解决的方法。 2. 还有一次也是在服务器重启后,此服务器无法远程连接。于是接终端排查显示IP属性正常,ping 网关不通;ping同网段的能通;本人分析不是IP被封了就是ARP;于是更改服务器MAC地址(有资料说用此法可以,于是本人如法炮制——看来必须不重启的情况下才可用此法),但只好了几秒钟;在经过一个半小时后,三层交换机管理员说有ARP网关欺骗。 分析:此种现象经常会是网关欺骗行为;但有时也有可能是服务器本身的软件防火墙在作怪。 处理:如果是网关欺骗行为;那么也是使用上面的故障解决的方法。如果是软件防火墙在作怪,关闭防火墙能正常连接上网后再开启;这里一般会起负作用的有360arp防火墙、瑞星防火墙等。 结束语: 经过了几次的ARP故障以后,当有类似的情况你就能准确的判断出问题的所在了。
结果没有,于是马上dis logbuffer(思科设备命令show logging)查看交换机日志,下面给出了思科设备的查看方式:
两个结果显示都很正常; 2. 仔细查看公司网络流量图(按客户所报IP的机位及相同网段)并没有异常; 3. 于是叫客户在其服务器上运行arp -a后得到网关MAC地址(linux系统命令为tcpdump -i eth0 arp);得知此MAC地址并不是网关的真正MAC地址。 4. 于是查看先前备份的整个网络的ip对应的MAC地址,从中找出对应的IP。 故障解决: 知道了是哪个ip在作怪,问题就好解决了,于是telnet 到与此ip服务器直接连接的华为交换机上,进入端口后用命令shut(此命令对于华为、思科设备是一样的)来关闭此IP的交换机端口;以确保网络畅通。再来想办法处理这台发起ARP攻击的服务器。 其它相同类型的故障解决思路: ARP的攻击无处不在,以下是一些服务器受到ARP攻击的具体表现: 1. 一台服务器要求破密码,破完密码后重启;此时原来的静态IP一直在获取的状态,在运行cmd后ipconfig/all显示没有IP。开始还以为是此IP被别人占用了;最后确定没有人用;而此时三层交换机管理员查出了ARP攻击。 分析:服务器重启或者是刚上架开通服务,而服务器的静态IP无法正常的获取,此时应该考虑是不是有网关欺骗行为。 处理:可以使用上面的故障解决的方法。 2. 还有一次也是在服务器重启后,此服务器无法远程连接。于是接终端排查显示IP属性正常,ping 网关不通;ping同网段的能通;本人分析不是IP被封了就是ARP;于是更改服务器MAC地址(有资料说用此法可以,于是本人如法炮制——看来必须不重启的情况下才可用此法),但只好了几秒钟;在经过一个半小时后,三层交换机管理员说有ARP网关欺骗。 分析:此种现象经常会是网关欺骗行为;但有时也有可能是服务器本身的软件防火墙在作怪。 处理:如果是网关欺骗行为;那么也是使用上面的故障解决的方法。如果是软件防火墙在作怪,关闭防火墙能正常连接上网后再开启;这里一般会起负作用的有360arp防火墙、瑞星防火墙等。 结束语: 经过了几次的ARP故障以后,当有类似的情况你就能准确的判断出问题的所在了。
相关文章推荐
- IDC运维团队技术交流——网络故障之DDOS攻击
- IDC运维团队技术交流——借助网络拓朴对故障排查详解
- IDC运维团队技术交流——服务器故障的排查 推荐
- IDC运维团队技术交流总结篇――――换个角度看世界
- IDC运维团队技术交流----金盾防火墙基本操作
- IDC运维团队技术交流总结篇————换个角度看世界 推荐
- IDC运维团队技术交流总结篇――――换个角度看世界
- 网络回溯分析技术八大应用之运维评估 故障排查
- 浅淡网络运维的紧急故障处理及对策
- 浅淡网络运维的紧急故障处理及对策 推荐
- 【人在运维囧途_06】 借助 sniffer 诊断 Linux 网络故障
- 用抓包工具轻轻松松排查网络故障-ARP攻击(转)
- 计算机技术交流群QQ:69706169,电脑维护故障排除,网络,通信,交换,电子等欢迎加入!
- 技术分享和交流-中小企业(SMB)如何设计IDC网络架构?如何管理运维资源和知识?
- 网络故障之DHCP广播风暴------运维上看交换机的CPU占用率100%
- IT运维手册之企业网络故障解决步骤
- 【人在运维囧途_06】 借助 sniffer 诊断 Linux 网络故障
- 教你三种检测网络故障方法!!!
- 从运维角度谈谈故障定位【未完】
- 网络运维软件破解