內(nèi)網(wǎng)遭遇ARP攻擊搜索妙招

工作中碰到過(guò)幾次內(nèi)網(wǎng)ARP.現(xiàn)就其中的查找方法作如下分析：

　　當(dāng)一個(gè)網(wǎng)段有好幾臺(tái)服務(wù)器無(wú)法上網(wǎng)報(bào)障時(shí)， 有可能是內(nèi)網(wǎng)ARP， 馬上telnet 到三層交換機(jī)上(二層的不行)用show arp(華為設(shè)備用dis arp)可以查看到有幾個(gè)IP地址的MAC地址相同;記下這幾個(gè)IP后馬上用show logging 命令(華為設(shè)備用dis logbuffer)查看日志你會(huì)發(fā)現(xiàn)其中有一個(gè)IP沒(méi)有日志報(bào)錯(cuò);這個(gè)IP就是內(nèi)網(wǎng)ARP發(fā)起者;馬上對(duì)它采取措施(交換機(jī)上shutdown連接此IP的端口或者直接關(guān)閉此IP的服務(wù)器查殺ARP后才插網(wǎng)線開機(jī))。

　　如果某臺(tái)服務(wù)器經(jīng)常有內(nèi)網(wǎng)ARP時(shí)可以考慮為此服務(wù)器單獨(dú)劃分一個(gè)VLAN以阻斷它對(duì)整個(gè)網(wǎng)段的影響;然后對(duì)它徹底處理。

　　也可做端口鏡像后在PC機(jī)上抓包分析;但筆者認(rèn)為沒(méi)有上面的方法來(lái)行快。 如果沒(méi)有三層交換設(shè)備的網(wǎng)絡(luò)環(huán)境可以直接在PC機(jī)上抓包分析后做處理。