一次网络ARP病毒故障的排除 - 网络 & 安全 - LoveUnix -- 最强AIX小机技术论坛,UNIX,Linux,存储,数据库,中间件,开发,管理 -- 蓝色的IBM技术天堂 --bbs.LoveUnix.net

zdygk

荣誉斑竹

极品果壳大将军

UID 114
精华 17
积分 1263
帖子 2399
活跃指数 107
LU金币 1022 个
LU金条 16619 个
阅读权限 200
注册 2003-9-24

大中小

使用道具

发表于 2006-10-12 11:30 资料个人空间主页短消息加为好友

一次网络ARP病毒故障的排除

昨天我们的网络遭遇了ARP病毒，helpdesk无力排除，只好我果壳来客串一下。过程如下：

网络某vlan段会间歇性断开，几秒后又自动恢复。

1：网络采用星形结构，分了两个Vlan，一个服务器端，一个workstation用。中心交换机一个catalyst 4506。
2：发作现象：客户机网段的大面积机器莫名其妙的出现中断，几秒后又自动恢复正常。

应该不是蠕虫，因为在该网段用软件防火墙检测没有大量的连接。

怀疑的对象：
1).交换机ARP表更新问题；
2).广播或路由环路故障；
3).病毒攻击

由于网管在异地，我无法访问网络设备。先分析一下故障现象。故障发作时，在故障机开ping，发现同网段的机器都OK，但是本网段的默认路由ping time out。

同事提醒下，怀疑是ARP病毒。马上先通知所有的本网段用户同志，在winxp下输入命令：
arp -s gate-way-ip gate-way-mac
固化arp表，阻止arp欺骗。

但是网络还是很慢，估计病毒发送大量广播包导致。
于是开始谷歌。
找到一个小软件，antiarp sniffer，输入正确的default gateway 的IP和MAC，并确保本机的arp表都是dynamic的item；监控2H，抓到元凶机器的MAC（其实就不停的arp -a也可以查出来，一旦default gateway的MAC在arp表中变化，新的MAC即为毒发机器），然后运行工具nbtscan，即可发现元凶机器的IP地址。

经查，是类似网银大盗或者QQ病毒之类的小病毒。 ARP 机制何其脆弱！

解决这个问题挺棘手。基本思路是固化所有的arp表，在交换机、路由器、桌面机，彻底消除arp 机制的不安全性。固化的程度和工作量成正比。

[ 本帖最后由 zdygk 于 2006-10-12 11:33 编辑 ]

天佑中华祝福同胞

Major : ETL AIX+JAVA+DB2
Hobby: shell+os-developer

DB2 is the Best Pure RDBMS; Oracle is an aspirant

老农

管理员

民工

UID 2
精华 25
积分 15720
帖子 26633
活跃指数 1262
LU金币 21476 个
LU金条 0 个
阅读权限 255
注册 2003-9-16
来自北京

大中小

使用道具

发表于 2006-10-12 11:42 资料个人空间主页短消息加为好友

ARP欺骗，以前玩过，现在还有点印象

提供IBM小机及存储相关专业技术咨询、实施、维保和培训，代理备机及配件。EMAIL：allenlong68[at]hotmail.com。[at]换成@

AIX交友QQ群：27342856，3089003（群是朋友聊天用的，技术在论坛谈。群已满，不活动的会被请出，给新人腾位置）
QQ里谈技术一下就冲没了，而且打搅人，是方便自己麻烦别人。技术问题在论坛里讨论，可以大家都来讨论，并留下参考。
技术不是看个文档就能提高的，多参与讨论进步快。对问题有见解的就发一下，说对了是帮助别人，说错了给机会纠正自己。

zdygk

荣誉斑竹

极品果壳大将军

UID 114
精华 17
积分 1263
帖子 2399
活跃指数 107
LU金币 1022 个
LU金条 16619 个
阅读权限 200
注册 2003-9-24

大中小

使用道具

发表于 2006-10-12 11:46 资料个人空间主页短消息加为好友

我差点被投诉的晕倒。ARP的广播发送量太大了。Giga的LAN都被拖的慢如牛！

天佑中华祝福同胞

Major : ETL AIX+JAVA+DB2
Hobby: shell+os-developer

DB2 is the Best Pure RDBMS; Oracle is an aspirant

老老鼠

版主