局域网中经常会发生ARP攻击,整个网络拥塞、缓慢、怨言四起,作为网络管理员你除了重启之外还需要识别ARP攻击,本经验手册教你如何在华为交换机上识别ARP攻击。
工具/原料
1在一个突然拥塞、运行缓慢的由华为交换机组成的局域网络
方法/步骤
11 网络主机侧攻击识别1.1 Windows系统如遇到主机不能与网关正常通信时,则在DOS界面下,输入arp –a命令,查看本主机的ARP缓存表:C:\Documents and Settings\p94997>arp -a Interface: 192.168.16.2 --- 0x2 Internet Address Physical Address Type 192.168.16.1 00-00-00-00-00-01 dynamic核对ARP缓存表中,网关的MAC地址是否与实际网关MAC一致。如不一致,说明受到ARP欺骗攻击,攻击主机的MAC地址即为00-00-00-00-00-01。有时,在查看ARP表时会发现有相同MAC对应多个IP的情况,此现象一般也是网络中存在ARP攻击所致:C:\Documents and Settings\p94997>arp -a Interface: 192.168.16.2 --- 0x2 Internet Address Physical Address Type 192.168.16.1 00-00-00-00-00-01 dynamic 192.168.16.2 00-00-00-00-00-02dynamic 192.168.16.3 00-00-00-00-00-02 dynamic 192.168.16.4 00-00-00-00-00-02 dynamic 1.2 UNIX系统同理,网络不通时查看主机的ARP缓存
22 网关设备侧攻击识别如发现网关设备(通常都为三层交换机)下挂的主机存在ping网关不通,无法访问外网的情况,则可通过以下步骤来判断是否受到ARP攻击:2.1 查看设备日志display logbuffer Logging Buffer Configuration and contents: enabled allowed max buffer size : 1024 actual buffer size : 256 channel number : 4 , channel name : logbuffer dropped messages : 0 overwrote messages : 13003 current messages : 256 %May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co llision detected, sourced by 00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e 48-573b on Ethernet0/10 of VLAN10 //ARP冲突告警:检测到IP地址10.254.200.169冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co llision detected, sourced by 0030-6e48-573b on Ethernet0/10 of VLAN10 and 00b0-d 0d1-5668on Ethernet0/8 of VLAN10 //ARP冲突告警:检测到IP地址10.254.200.169冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到) %May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co llision detected, sourced by00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e 48-573b on Ethernet0/10 of VLAN10 //ARP冲突告警:检测到IP地址10.254.200.169冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到) %May 4 11:54:56 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.170 co llision detected, sourced by 0030-6e48-47d3 on Ethernet0/8 of VLAN10 and 00b0-d0 d1-5668on Ethernet0/8 of VLAN10 //ARP冲突告警:检测到IP地址10.254.200.170冲突,引起冲突的MAC地址为00b0-d0d1-5668 (从Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)查看日志发现有大量密集的IP地址冲突告警,发生冲突的IP可能在变化(如10.254.200.169与10.254.200.170),但是发生冲突的某个MAC地址(00b0-d0d1-5668)始终不变,则可判定存在ARP攻击,须查出攻击主机(mac:00b0-d0d1-5668)加以处理。 2.2 查看设备的ARP表display arp Type: S-Static D-Dynamic IP Address MAC Address VLAN ID Port Name Aging Type 10.175.2.161 0011-253e-5bee100 Ethernet0/1/51 D 10.175.2.165 0011-253e-5bee100 Ethernet0/1/5 2 D 10.175.2.166 0011-253e-5bee100 Ethernet0/1/5 2 D 10.175.2.167 0011-253e-5bee100 Ethernet0/1/5 2 D 10.175.2.168 0011-253e-5bee100 Ethernet0/1/5 3 D 10.175.2.169 0011-253e-5bee100 Ethernet0/1/5 3 D 10.175.2.170 0011-253e-5bee 100 Ethernet0/1/5 3 D 10.175.2.176 0011-253e-5bee100 Ethernet0/1/5 5 D 10.175.2.177 0011-253e-5bee100 Ethernet0/1/5 5 D 10.175.2.181 0011-253e-5bee 100 Ethernet0/1/5 7 D 10.175.2.254 0011-253e-5bee100 Ethernet0/1/5 8 D 10.175.2.5 0011-253e-5bee100 Ethernet0/1/5 9 D 10.175.2.6 0011-253e-5bee 100 Ethernet0/1/5 9 D 10.175.2.11 0011-253e-5bee100 Ethernet0/1/5 10 D 10.175.2.12 0011-253e-5bee100 Ethernet0/1/5 10 D 10.175.2.120 0011-110c-43dc 100 Ethernet0/1/1 10 D 10.175.2.17 0011-253e-5bee100 Ethernet0/1/5 11 D 10.175.2.15 0030-6e06-311e 100 Ethernet1/1/24 11 D 10.175.2.18 0011-253e-5bee 100 Ethernet0/1/5 11 D 10.175.2.19 0011-253e-5bee100 Ethernet0/1/5 11 D 10.175.2.95 0040-0515-0b7b 100 Ethernet0/1/1 11 D 10.175.2.88 00d0-c958-6395 100 Ethernet1/1/47 13 D 10.175.2.84 00d0-c958-6455 100 Ethernet0/1/32 14 D …………如果发现存在多个IP(一般这些IP都同属一个网段)对应一个MAC、且对应的交换机端口为下行端口的现象,也可判定网络中存在ARP攻击,需查找出攻击主机(mac:0011-253e-5bee)做相应处理。2.3 在S6500上查看ARP攻击进入隐含模式[6505B]en [6505B-testdiag]catch rxtx by sa slot 0 // 打开开关统计上送CPU的报文 Slot 0: information of Module RxTx [6505B-testdiag]catch rxtx end slot 0 //间隔10s后再敲以下命令关闭并显示结果 Slot 0: information of Module RxTx The Catch Result of SA is : ea -------- 73846148b0c9 -------- 212 e04c9925c6 -------- 392 1617b4294d -------- 76 e019094b15 -------- 9 1422c3261 -------- 820 a0c9ef9ba1 -------- 1152c76a028f0 -------- 89 4619a4162 -------- 15 -------- 853 1a4d664c2b -------- 423 16ec6c792 -------- 702 e04c4a6421 -------- 27 aeb534b32 -------- 138 00e0a004dd95 -------- 759 此方法可快速定位arp攻击主机,10s内上送CPU报文个数超过1000的mac都比较异常,应将此类mac对应的主机查找出来加以处理。2.4 查找攻击主机首先在网关交换机上查找攻击主机的MAC地址:display mac 00b0-d0d1-5668MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 00b0-d0d1-566810 Learned Ethernet0/8 230 判断该mac地址是从Ethernet0/8端口学习到的,如果该端口是直接接主机的,则其下挂主机就是攻击主机;如果Ethernet0/8端口下还级联了交换机,则登陆下层交换机继续查找,直至找到该主机为止: display mac 00b0-d0d1-5668MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 00b0-d0d1-566810 Learned Ethernet0/13 200
注意事项
当你查找出来攻击主机后,请一定要冷静,不要对攻击主机的主人施行暴力措施,毕竟有些ARP攻击总是在你看岛国动作片的时候就不知不觉的发生了
