探讨一个ARP Requst Storm案例
前两天在客户那边处理了一起网络故障,现在整理一下,作为一个案例,供各位高人讨论!故障现象: 用户经常无规律的掉线,掉线时ping网关不通;掉线一段时间后,网络又恢复正常。如此反复。。。。。
初步判断:通过故障现象我们基本上可以判断内网存在针对网关的ARP欺骗行为。
分析:我通过电话让用户在掉线时,用arp -a查看网关MAC地址,并做好记录;当网络恢复正常的时候再次使用arp -a查看并记录网关MAC地址;通过比较,我们发现两次获得的MAC地址是不一样的,至此我们可以断定是内网的某台机器在对内网的网关地址进行ARP欺骗。
分析结果是有了,但用户不放心,一定要我过去一下,没办法,只好过去一下了。
处理过程:到用户那之后,我便把我的本子接到用户的交换机上开始抓包(因为主要抓ARP包,所以就不需要做端口镜像了),还没等到故障现象重现呢,我们就发现问题了:内网有几台机器在向内部网段的所有机器疯狂的发送ARP Requst包,我们找到那些机器,并用木马专杀工具杀毒,查杀了几十个木马后,再抓包,发现那些机器不再发不正常的ARP Requst包了,但同时,我发现有一个MAC地址还在发送这种不正常的ARP Requst包,经用户确定,该MAC地址属于一台专网的华为路由器,奇怪了,路由器是个网络设备,它不存在感染木马的可能啊,是什么原因导致它不断的发送ARP Requst包呢??但是我们在重启该路由之后,抓包发现路由不再发这种不正常的在发送这种不正常的ARP Requst包了。
处理结果:查杀木马后,网络再没有出现掉线现象
小结:在故障现象没有重现前,不要轻易采取一些措施,正是因为我一发现不正常就让用户查杀木马导致了我没有抓到我最想抓的包。
问题: 可能是什么原因导致华为路由器不断地发送ARP Requst包?希望大家一起来探讨一下这个问题并期望最终有高人能够给出合理的解释。 为啥你觉得华为路由器发送的ARP请求不正常呢?
如果它为了防止ARP欺骗,主动发起ARP请求以更新本地的ARP缓存,那也无可厚非啊
有数据包可以让大家看看吗? 我认为是P2P惹的祸。你应该可以发现ARP Requst的IP地址不存在(应该是关机了)。
可以做这样一个实验(家庭ADSL就可以了),用某个IP地址下载xunlei一段时间,然后禁用网卡,更改IP地址,抓包,多抓一会(等网关的ARP表更新),你会发现网关不断发送ARP Requst,而其询问的IP地址就是刚才你使用的IP地址。
当然,发生这种情况的条件是网关的ARP表更新比NAT表更新得更快,如果ARP表更新比NAT表更新慢,就不会发生这种情况了,除非下载的机器是DMZ主机。
关掉网关后为什么ARP Requst消失,主要是因为原NAT表消失。外来不明IP还有可能仍在发送数据包过来,这时候你可以把DMZ主机设置成一个不存在的内网IP,然后抓包来验证。 我以前遇到一个这样的情况,不过不是华为router 是 foundry的b4K,都不知道怎么给用户解释 这个问题我也遇到过
核心交换发送arp请求包
而楼层交换发送免费arp
个人感觉
1.防止arp欺骗,保持主机arp表项。
2.p2p的干扰,当一个udp包从公网经过网关的时候,这时候就会发送arp请求! 个人有两个疑问:
1、就光光只有arp request应该不会产生ARP欺骗吧?一般来说在网络里拼命的发送ARP REQUEST包的原因是想知道有哪些机器是活的,然后再处下一步的动作,比如ARP欺骗或是其它的入侵行为,这个arp request只是检查是有哪些机器是活的。
2、对于交换机来说一直发送arp request,你有没有查看这个arp request包是不是相同的包,就是一模一样的arp request包?还是不同的,如果是相同的是不是网络有环产生的?然后你一重起span tree就又重计算又起作用了所以就没有环了,如果这个arp request包每个都不一样的话,那就很有可能还是有机器在作怪这就有点烦了。 arp request 比arp response更有杀伤力! arp病毒是比较让人头痛的,一直都没看见真正的简单很有效果的防御办法(当然是对也电脑生手而言). 我做实验表明:
arp request 和arp response的欺骗效果是一样的
不管你发的这个欺骗报是request 还是response,接收到的机器都会根据这个包自动更新自己的mac缓存 这种情况我也遇到过
也是H3C的交换机
发大量的arp request 包 有点意思,,,研究研究,,,,,,,,
页:
[1]