某集客專線ARP欺騙故障分析

1、某集客專線ARP欺騙故障分析1、 網絡環(huán)境該專線的網絡環(huán)境比較簡單，大體如下圖所示：辦公電腦的網絡為192.168.200.X/24，網關地址為192.168.200.254在華為S3528上，服務器的地址段為10.139.144.X/24。2、 故障現(xiàn)象在辦公區(qū)訪問服務區(qū)時會時通時斷的現(xiàn)象，辦公電腦是通過DHCP來獲取IP地址的。當訪問不通時，重新獲取一下IP地址就可以連通，但是用一會又會出現(xiàn)訪問中斷。3、 故障分析a 分析測試出現(xiàn)故障時，我們PING服務器地址無法PING通，然后我們PING網管地址也無法PING通。通過查看辦公電腦的ARP表發(fā)現(xiàn)網關地址對應的MAC地址為全0的MAC地址。

2、通過上面的分析測試我們可以了解到，當主機無法訪問服務器時主機連網關都無法PING通，而且網管的MAC地址全為0，即主機沒有學習到網關的MAC地址，所以主機無法與網關進行通信，從而導致主機無法訪問服務器。b 抓包分析本來正常連接時主機應該有網關IP地址和MAC地址的ARP映射表，但是在訪問不成功時并沒有學習到網關的MAC地址，造成故障的原因很大可能是ARP欺騙。為了驗證是否有ARP欺騙，我們在交換機S3528上做端口鏡像來抓取數據包，具體部署如下：如上圖所示，因為辦公網絡連到S3528的端口是f0/21，所以我們只鏡像f0/21，該端口鏡像到f0/25，然后把裝有抓包分析工具的筆記本電腦連接到f

3、0/25端口抓取數據包。c 數據包分析我們在對數據包進行分析時發(fā)現(xiàn)存在大量的IP沖突，如圖所示：通過抓包軟件的診斷提示，發(fā)現(xiàn)產生IP地址沖突的源IP地址是故障網絡的網關地址通過觀察上圖，我們可以發(fā)現(xiàn)192.168.200.254對應的MAC地址有兩個，一個是00:25:64:A8:74:AD，一個是00:1A:A2:87:D1:5A，通過具體的分析我們發(fā)現(xiàn)MAC地址為00:25:64:A8:74:AD的主機對應的IP地址為192.168.200.33，如圖所示：00:1A:A2:87:D1:5A才是192.168.200.254真實的MAC地址。所以當辦公區(qū)訪問服務器不通時，我們PING網關地址不通，是因為辦公電腦在向網關發(fā)送請求時請求的是錯誤的網關地址，網關沒有響應主機的請求，從而導致足跡學習不到正確的MAC地址，如下圖所示： 所以導致網絡不通的原因就是由于192.168.200.33這臺主機進行ARP欺騙造成的。d 分析結論通過上面的分析，可以看出MAC地址為00:25:64:A8:74:AD，IP地址為192.168.200.33的這臺主機中了ARP病毒，將自己偽裝成網關，欺騙網段內主機。4、 總結對于ARP病毒，只要定位到病毒主機，我們就尅使用通過ARP專殺工具進行查殺來解決這類故障。但是最好