基於Cisco3層交換機對ARP病毒的預防
[b][color=red]我是---菜鳥[/color][/b],第一次在此發帖,希望大家不要對我扔磚頭,對我扔money我沒意見……:loveliness:" />" />[b]抛磚引玉[/b](借用詞語):很早就聽説ARP攻擊,其對網絡的危害確實比較大,不過在我們公司還沒有受到太大的影響,因爲我們利用Cisco3層交換機的報警功能……
[b]案例分析:[/b]
今天下午突然收到Cisco設備的報警(就是log),如下:
[color=magenta]Subject: [KIWI] Duplicate address on SW [color=#0000ff]XX.XX.XX.[/color]249[/color]
[color=magenta]Event time: 2007-03-14 16:28:31
2280: Mar 14 16:28:39 GMT: %IP-4-DUPADDR: Duplicate address 172.24.4.250 [color=black](gw,hsrp虛擬出來的)[/color]on Vlan[color=blue]XX[/color], sourced by 0040.d08e.7dfb
[/color]
看來有人中毒了,要麽就是有人在玩ARP攻擊……
登錄交換機,來個命令:
HP-001#[color=darkred]show ip arp 0040.d08e.7dfb[/color]
[color=black]出現了:[/color]
[color=magenta]Protocol Address Age (min) Hardware Addr Type Interface
Internet [color=#0000ff]XX.XX.XX.[/color]39 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]42 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]43 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]44 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]16 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]20 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]24 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]119 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]105 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]70 0 0040.d08e.7dfb ARPA Vlan[color=#0000ff]XX[/color]
Internet [color=#0000ff]XX.XX.XX.[/color]76 0 0040.d08e.7dfb ARPA Vlan[/color][color=#0000ff]XX[/color]
[color=magenta][/color]
[color=magenta][color=black]靠,夠恐怖的[/color][/color]
[color=magenta][color=black]此時可以從DHCPserver上看到此MAC對應的實際IP,不過此時我們的做法是:直接封MAC[/color][/color]
[color=magenta][color=#000000]然後你就坐在位置上等人保修吧(我們公司太大了,不可能自己去找),不過有人是高手,自己會修改MAC,暈……[/color][/color]
[color=magenta][color=#000000][/color][/color]
[color=magenta][color=#000000]閉幕……謝謝觀賞[/color]
[/color]
[[i] 本帖最后由 golden2001 于 2007-3-14 17:22 编辑 [/i]] 如果连MAC都是伪造的呢? mac可以伪造
但是交换机端口总不会伪造吧 从交换机端口能抓到所有的通信信息,但是如果ARP的发包数很少,伪造的MAC和IP地址没有规律可查,又怎么分析? 不错! 我们对付arp病毒也是这种方法,查看日志找出MAC然后 show mac-address-table找出 端口 show cdp nei detail 找出具体接入层交换机,通过mac-address-table找出具体的端口shutdown。如果arp病毒不对网关IP进行欺骗就很难发现,查看日志还是有些滞后性 我这局域网很小,我用了arp sniffer这个软件,找到单机后把网线给它拔了,重做系统,有的还需要硬盘全部格式化!方法有点笨,可是效果还行!:loveliness: [quote]原帖由 [i]benwen[/i] 于 2007-8-8 09:59 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=103166&ptid=14739][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
我这局域网很小,我用了arp sniffer这个软件,找到单机后把网线给它拔了,重做系统,有的还需要硬盘全部格式化!方法有点笨,可是效果还行!:loveliness: [/quote]
现在的ARP病毒一般都是些盗号木马程序之类的,完全不必要重做系统那么麻烦
如果下次有病毒,你当天在这里下载:
[url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url]
直接下载这个,扫一下病毒就可以解决了!
页:
[1]