IDC运维团队技术交流——网络故障之ARP攻击

　　前言：　　　　随着IDC业务的不断发展，为了适应不同客户的业务需求，要求我们不断的提升自身的技术水平及工作能力；对故障的准确定位及快速处理能力是至关重要的。首先要把思路理顺，面对故障要有条有理，逐步排查，这样才能从容应对。　　在这里本人将一些工作中的经验跟大家交流、分享。有不同意见或看法的欢迎大家指教。　　故障现象：　　客户反映说有ARP攻击他的服务器网页，服务器能正常远程登录及上网；但客户网站打开后就是乱码或者加了一条广告。明显网页在半路被人截了改后的网页。　　故障分析： 按照故障现象分析故障类型为非单机故障的网络故障。　　故障排查：　　1. telnet到公司的华为三层交换机上，使用dis arp命令（思科设备命令show arp）查看有无arp网关欺骗，见下图————分别是华为设备和思科设备的查看方式：



结果没有，于是马上dis logbuffer（思科设备命令show logging）查看交换机日志，下面给出了思科设备的查看方式：　　

　　两个结果显示都很正常;　　2. 仔细查看公司网络流量图（按客户所报IP的机位及相同网段）并没有异常；　　3. 于是叫客户在其服务器上运行arp -a后得到网关MAC地址（linux系统命令为tcpdump -i eth0 arp)；得知此MAC地址并不是网关的真正MAC地址。　　4. 于是查看先前备份的整个网络的ip对应的MAC地址，从中找出对应的IP。　　故障解决：　　知道了是哪个ip在作怪，问题就好解决了，于是telnet 到与此ip服务器直接连接的华为交换机上，进入端口后用命令shut（此命令对于华为、思科设备是一样的）来关闭此IP的交换机端口；以确保网络畅通。再来想办法处理这台发起ARP攻击的服务器。　　其它相同类型的故障解决思路： ARP的攻击无处不在，以下是一些服务器受到ARP攻击的具体表现：　　1. 一台服务器要求破密码，破完密码后重启；此时原来的静态IP一直在获取的状态，在运行cmd后ipconfig/all显示没有IP。开始还以为是此IP被别人占用了;最后确定没有人用；而此时三层交换机管理员查出了ARP攻击。　　分析：服务器重启或者是刚上架开通服务，而服务器的静态IP无法正常的获取，此时应该考虑是不是有网关欺骗行为。　　处理：可以使用上面的故障解决的方法。　　2. 还有一次也是在服务器重启后，此服务器无法远程连接。于是接终端排查显示IP属性正常，ping 网关不通；ping同网段的能通；本人分析不是IP被封了就是ARP；于是更改服务器MAC地址（有资料说用此法可以，于是本人如法炮制——看来必须不重启的情况下才可用此法），但只好了几秒钟；在经过一个半小时后，三层交换机管理员说有ARP网关欺骗。　　分析：此种现象经常会是网关欺骗行为；但有时也有可能是服务器本身的软件防火墙在作怪。　　处理：如果是网关欺骗行为；那么也是使用上面的故障解决的方法。如果是软件防火墙在作怪，关闭防火墙能正常连接上网后再开启；这里一般会起负作用的有360arp防火墙、瑞星防火墙等。　　 结束语：　　经过了几次的ARP故障以后，当有类似的情况你就能准确的判断出问题的所在了。