某集客专线ARP欺骗故障分析_第1页
某集客专线ARP欺骗故障分析_第2页
某集客专线ARP欺骗故障分析_第3页
某集客专线ARP欺骗故障分析_第4页
某集客专线ARP欺骗故障分析_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、某集客专线ARP欺骗故障分析1、 网络环境该专线的网络环境比较简单,大体如下图所示:办公电脑的网络为192.168.200.X/24,网关地址为192.168.200.254在华为S3528上,服务器的地址段为10.139.144.X/24。2、 故障现象在办公区访问服务区时会时通时断的现象,办公电脑是通过DHCP来获取IP地址的。当访问不通时,重新获取一下IP地址就可以连通,但是用一会又会出现访问中断。3、 故障分析a 分析测试出现故障时,我们PING服务器地址无法PING通,然后我们PING网管地址也无法PING通。通过查看办公电脑的ARP表发现网关地址对应的MAC地址为全0的MAC地址。

2、通过上面的分析测试我们可以了解到,当主机无法访问服务器时主机连网关都无法PING通,而且网管的MAC地址全为0,即主机没有学习到网关的MAC地址,所以主机无法与网关进行通信,从而导致主机无法访问服务器。b 抓包分析本来正常连接时主机应该有网关IP地址和MAC地址的ARP映射表,但是在访问不成功时并没有学习到网关的MAC地址,造成故障的原因很大可能是ARP欺骗。为了验证是否有ARP欺骗,我们在交换机S3528上做端口镜像来抓取数据包,具体部署如下:如上图所示,因为办公网络连到S3528的端口是f0/21,所以我们只镜像f0/21,该端口镜像到f0/25,然后把装有抓包分析工具的笔记本电脑连接到f

3、0/25端口抓取数据包。c 数据包分析我们在对数据包进行分析时发现存在大量的IP冲突,如图所示:通过抓包软件的诊断提示,发现产生IP地址冲突的源IP地址是故障网络的网关地址通过观察上图,我们可以发现192.168.200.254对应的MAC地址有两个,一个是00:25:64:A8:74:AD,一个是00:1A:A2:87:D1:5A,通过具体的分析我们发现MAC地址为00:25:64:A8:74:AD的主机对应的IP地址为192.168.200.33,如图所示:00:1A:A2:87:D1:5A才是192.168.200.254真实的MAC地址。所以当办公区访问服务器不通时,我们PING网关地址不通,是因为办公电脑在向网关发送请求时请求的是错误的网关地址,网关没有响应主机的请求,从而导致足迹学习不到正确的MAC地址,如下图所示: 所以导致网络不通的原因就是由于192.168.200.33这台主机进行ARP欺骗造成的。d 分析结论通过上面的分析,可以看出MAC地址为00:25:64:A8:74:AD,IP地址为192.168.200.33的这台主机中了ARP病毒,将自己伪装成网关,欺骗网段内主机。4、 总结对于ARP病毒,只要定位到病毒主机,我们就尅使用通过ARP专杀工具进行查杀来解决这类故障。但是最好

人人文库> 全部分类> 行业资料 > 管理策划

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论