内网遭遇ARP攻击查找妙招

zyp

工作中碰到过几次内网ARP。现就其中的查找方法作如下分析：
7 B0 V' y. @% ^- e% A9 U4 u: s- s' g当一个网段有好几台服务器无法上网报障时，有可能是内网ARP，马上telnet 到三层交换机上(二层的不行)用show arp(华为设备用dis arp)可以查看到有几个IP地址的MAC地址相同;记下这几个IP后马上用show logging 命令(华为设备用dis logbuffer)查看日志你会发现其中有一个IP没有日志报错;这个IP就是内网ARP发起者;马上对它采取措施(交换机上shutdown连接此IP的端口或者直接关闭此IP的服务器查杀ARP后才插网线开机)。
4 S( }' h/ P6 K7 E3 |9 W% R如果某台服务器经常有内网ARP时可以考虑为此服务器单独划分一个VLAN以阻断它对整个网段的影响;然后对它彻底处理。
0 G- h. C8 j, H+ ^9 |也可做端口镜像后在PC机上抓包分析;但笔者认为没有上面的方法来行快。如果没有三层交换设备的网络环境可以直接在PC机上抓包分析后做处理。