arp广播控制.doc

水文上游局处理网络ARP欺骗故障中的一些经验稿件来源：长江水文网发布时间：2006-8-11 9:06:03作者：陈威8月3日下午17时到9日上午11时,上游局计算机网络由于受到arp欺骗攻击,导致整个网络不稳定、时断时续。在上游局水情室全体网络技术人员的努力下,查找了大量的资料、采用了大量技术手段,最终排除了故障。有鉴于上游局网络遭到的损害，同时也为了提醒兄弟单位注意，我们将此次网络故障处理的过程和方法进行的一定的总结，供大家参考。8月3日下午,上游局出现计算机网络故障，症状表现为访问互联网时断时续,ping网关和网通网关时断时续。发现问题后,水情室网络技术人员立即采取了sniffer软件嗅探抓包分析、网络流量分析和网络实时监控等手段，对网络故障进行排查。经过一段时间的监控与观察，我们发现网络故障表现如下：每隔20分钟左右，网络中断一次，持续时间大概在35秒，每隔45小时左右，网络有一次35分钟的中断。为定位故障点我们首先采用了逐个节点设备测试方法，先测试了不通过防火墙直接访问互联网，再通过分流的方式通过防火墙访问互联网，测试结果为正常，从而排除了电信运营商线路和防火墙故障。随后，故障范围被定位在了中心设备CISCO3550三层交换机上，由于上游局中心交换机包括了“水情子网”、“局办公子网”、“水质室子网”和“家属区子网”等众多网络，需要在这些网络中进行逐个断网测试，在进行了详细的测试后，进一步将范围缩小，最终将故障定位在了“办公子网”。在确定了网段后，我们立即采用sniffer软件对“办公子网”嗅探抓包分析、网络流量分析和网络实时监控等手段，对网络故障进行排查。因为在每次断网前都有一次异常流量发生，每次流量的使用超过120，开始判断为网络风暴，或者病毒攻击造成网络流量过大，从而导致中心交换机处理信息超负荷后无响应，于是作了storm-control、flow-control、flooding-control、portsecurity和portprotected等保护交换机和端口的一些配置，虽然将流量控制在了80左右，但断网的情况依然存在，查看了交换机的CPU和内存使用率，CPU为7左右，内存使用率为11，看来主要问题不仅仅是网络负载过大。由于8月5日和8月6日是周末，办公区无人上网，网络正常。到了8月7日（周一），网络故障再次出现。上游局网络管理人员从多种途径查找资料，结合先前的分析，初步认为此次网络故障和ARP有很大的关系。在分析了sniffer软件抓包的情况后，我们发现MAC地址为00E04C405E61的计算机发送的广播报远远超出了正常范围。在察看了交换机arp列表后，我们又发现该MAC地址对应了多个IP（arp列表中计算机IP地址与MAC地址必须是一一对应的），导致一些本应正常访问的包（如访问互联网网站等），被错误的送往到该MAC地址的计算机上（这就是arp欺骗的原理，通过它，黑客可以盗取其他人的信息，通常存在于一些游戏外挂中和不明软件中）。因为MAC地址为00E04C405E61的计算机模拟的IP地址是非法IP地址，它不会对用户请求的数据包进行正常的反馈和响应，即导致了断网的现象。在确定了该MAC地址后，通过清理arp列表的手段得到了其真实的IP地址“10.6.16.182”，通过sniffer软件对该IP进行抓包分析后，获得了拥有该IP地址的计算机名，其名称是：“CQtaotao”！最后根据上游局人名对照查找，发现该机器是科研室的一台计算机，将其断网后网络恢复正常，恢复时间8月9日上午11时。Arp欺骗是现阶段较常见和危害较大的网络攻击方式，对它的防范目前没有很好的解决方案。从我们的经验来看，要防范此种攻击，最好的办法就是所有计算机用户及时升级病毒库并杀毒，不浏览不明网站，不下载和安装不明软件。其次，在网络方面也可以进行一些处理：1.在三层交换机上进入特权模式：(config)#arpip_addressmac-addressarpa要将本网段所有IP全部做绑定，由于我们的局域网规模较大，所以工作量特别大；2.在其上对网关地址做静态绑定（工作量也很大）；3.采用DynamicARPInspection技术在三层交换机上进行设置：(config)#iparpinspectionvlannumber(config)#iparpinspectionlog-bufferentries1024(config)#iparpinspectionlog-bufferlogs1024interval10进入交换机端口模式(config-if)#iparpinspectiontrustCisco3550交换机端口流量限制进入特权模式(config)#mlsqos/首先开启qos(config)#class-mapmatch-all|match-any%yourclassname%/建立一个class(config-cmap)#matchaccess-group110/进行匹配,可以是协议或访问列表等.(config)#policy-map%yourpolicyname%/定义策略映像(config-pmap)#class%yourclassname%/指定流量类型(config-if)#service-policyinput%yourpolicyname%/最后在端口应用清除arp列表#cleararp-cache启用网络风暴控制(config-if)#storm-controlbroadcastlevel7