同一网段下,部分能上网,部分不能上网
昨天在襄樊一用户处售前,正巧碰到他们网络中出现:部分用户能上网,部分用户不能上网内部网络中都是可以访问的,可以访问到网关,但是就是不能访问互联网
不能上网的机器和能上网的机器网络系统参数配置一样
网络架构:
互联网--防火墙--交换机--接入交换机--工作站
(无vlan的划分)
诊断过程:
1、通过抓包看,有几台机器发arp的请求包,扫描样式
2、机器的arp表中网关的mac经常变化,2~3个不同,但是mac地址在我的机器上匹配寻找不到
3、到发出扫描的机器上看,可以上网,且mac地址跟扫描到的有问题的不同
4、有问题的机器断网杀毒,有病毒,但是其他不能上网的机器还是不能上网
5、看防火墙日志,报有mac地址冲突,地址改写等系统报警
解决过程:
看情况还是arp的欺骗(网关mac不停在改变),无论是能上网的还是不能上网的网关mac有的一样,有的不同
到防火墙上抄下正确的mac地址,在不能上网的机器和能上网的部分机器上用Antiarp.exe,将网关和mac绑定,看报警信息,能上网的还是能上网,不能上网的也可以上网了
总结:
还是arp欺骗,由于离回家的车仅1个小时,没有详细的查看分析,且Antiarp.exe报警的信息都是mac地址且该地址没有找到,很是奇怪
看来arp有出现变异,由原来的破坏网络连接改为截获上网相关密码信息(但是为什么部分机器不能上不得知,且据说他们网络中没有人由能力使用网络剪刀手和执法官)
下次有机会再抓样本分析啦
另:Antiarp.exe很小又实用,在判断是否为arp欺骗时很有效,对付网络剪刀手和执法官也不错,坛子中应当有这个附件,但是还是放上来免得找:)
再:回来后联系客户,他们的防火墙是采用代理的方式连接上网
[[i] 本帖最后由 fishyxq 于 2007-6-13 12:26 编辑 [/i]] 楼主很想希望你能把当时的手抓包发出来让大家分享一下,我们这些新手就希望能对着实际的抓包来分析。
我想最好的办法要双向邦定,即网关和主机同时邦定ip-mac地址,这要看他的网关能不能支持mac邦定了。不知对否???在没有彻底清理所有机器病毒前,如果能保证用户上网得找一个工具在网络中不停的发网关mac的ARp包,只有这样才会解决网关的mac地址冲突。 当时时间仓促,且是交换环境没有做端口镜像,所以包有问题
还有就是当时我抓包的机器好像也被欺骗,显示的网关的MAC地址在地址本中竟然查找不到
上面描述的只是提醒大家要注意ARP出现的演变,在今后的工作中可以快速的解决问题,如果有机会下次碰到且时间充裕,会详细处理并抓包找样本的,哈哈:cool: 这样可以 谢谢楼主 分享 我也遇到这样的问题, 不知如何解决, 请大侠帮帮我!!!!!! 建议大家用CISCO 的DAI技术,这样可以彻底远离ARP欺骗 谢谢谢谢 谢谢楼主
啊 不错,不错,跟老哥顶一下:)
页:
[1]